Blizzard Enterntainment podría aún no tener claro su último ataque, los autores pudieron haber conseguido información suficiente a través de aplicación de ingeniería inversa sobre contraseñas débiles.

Como Jeremy Spilman señaló en su blog, la información robada de Blizzard es probablemente de la base de datos del server-side utilizada como parte del Protocolo de Seguridad de clave de acceso Remoto.

Si la implementación de SRP de Blizzard es estándar, la base de datos SRP robada contiene el nombre de usuario y las sales de cada cuenta, además de los hashes de los verificadores de contraseñas.

En su post, Spilman hizo referencia a un articulo previo, escrito por el ampliamente reconocido como padre del SRP, Thomas Wu, quien declaró que si cierta información es conocida, tal como los verificadores de contraseñas que fueron robados de Blizzard, un atacante podría ser capaz de realizar un ataque de diccionario.

Aunque un atacante no puede obtener información en claro de un hash, en términos simples, aún pueden intentar combinar un nombre de usuario con una lista de contraseñas comúnes, y entonces intentar utilizar las sales de la base de datos para generar un verificador. Estos verificadores generados a continuación, pueden ser comparados con los verificadores robados. La presencia de las sales en la infomación robada significa que la fuerza adicional proporcionada normalmente para mitigar contraseñas débiles se vio obstaculizada.

Adicionalmente, las contraseñas de Blizzard no distinguen entre mayúsculas y minúsculas, lo que reduce significativamente el número de contraseñas que necesitan ser probadas.

Blizzard también ha sido criticado por el Internet Storm Centre del SANS Institute por no abordar la cuestión de preguntas de seguridad para restablecer contraseñas. El colaborador de SANS, Kevin Liston, advirtió que la recomendación para que los usuarios cambien sus contraseñas puede no ser muy efectiva, ya que los atacantes cuentan con las preguntas de seguridad y pueden utilizarlas para restablecer contraseñas de una manera similar a lo que sucedio con Mat Honan la semana pasada.

Blizzard hasta ahora ha indicado que pondrá en marcha un método para que los usuarios cambien sus preguntas y respuestas de seguridad, pero hasta entonces, los usuarios son incapaces de hacerlo. Mientras tanto, el portal de juegos ha dicho que su personal de servicio al cliente usará medidas adicionales para verificar la identidad del jugador y no simplemente confiar en las preguntas y respuestas de seguridad. Sin embargo, los usuarios interesados pueden configurar notificaciones SMS que se envíen si los detalles de su cuenta han cambiado.

ZDNet contactó a Blizzard para hacer comentarios, pero hasta el momento de la redacción, no hubo comentarios.