Dota 2用户论坛遭到黑客攻击，约200万玩家的个人账户信息被盗

据国外媒体报道，一位不知名黑客攻击了大型网络对战游戏Dota 2的用户论坛，从中盗取了约200万玩家的个人账户信息。
此次攻击是发生在今年的7月10日。在这之后，黑客将数据的拷贝版本卖给了一家叫做LeakedSource.com的地下交易网站。用户可在这家网站上查到自己的用户名、登录密码等帐户信息，但需要支付一定的赎金才能取回自己的Dota 2论坛账号。
由于该用户论坛所使用的vBulletin软件的版本较为陈旧，当中存在能够发动SQL代码注入攻击的漏洞，安全性能较差。该名黑客也正是观察到了这一点，因而利用这一漏洞，发动了SQL注入攻击，从而导致该论坛发生了数据泄漏。
黑客利用这一漏洞，在实施了SQL注入攻击之后，可轻易地进入该论坛的后台数据库，访问其中存储的敏感数据，例如：用户名、电邮地址、以及用户常用的IP地址等。


这些敏感数据还包括用户的哈希密码，这种密码采用的是MD5加密算法。现在，在很多网络安全专家看来，这种加密算法已经无法满足当今的安全需求了，很容易就会遭到破解。如今，黑客更多的是采用加盐（Salt）处理的方式来破解密码。LeakedSource.com网站的相关人员向我透露，该名黑客仅仅通过使用一些普通的破解工具，便破解了其中154万用户的登录密码（占比达到80%）。
当然，我们也不能因此就认为，此次数据泄漏事件与近期发生的几起游戏论坛数据泄漏事件，有一定的关联。因为在普通大众的认知中，此类事件的始作俑者往往都是一些地下黑客团伙，但其实不然。
LeakedSource.com网站的工作人员已经将这些遭到泄漏的数据，加入了他们自己的后台数据库中。这样做的目的是为了方便受害用户能够及时地找回自己的个人账号。
在LeakedSource.com网站上，我找到了一篇关于介绍此次数据泄漏事件的博文。在该篇博文中，相关工作人员对这些敏感数据进行了分析。结果发现，超过一半的用户在进行注册时，使用的是Google公司推出的Gmail电邮账号。
LeakedSource.com网站表示，很多用户的电邮账号都是一次性的，未进行身份绑定。在完成注册之后，即可随意处理。
Dota 2游戏开发商，美国维尔福软件公司（Valve，也被称为V社）还未对此次数据泄漏事件发表任何声明。