Nintendo je ugasio prijavu NNID još u aprilu, nakon što je otkrio da su hakeri kompromitovali oko 160.000 naloga koristeći legacy akreditive. Sada kompanija kaže da je ta cifra možda iznosila 300.000.
U izjavi na japanskom jeziku, objavljenoj danas, 9. juna, Nintendo kaže da je, nastavljajući istragu, pronašao „oko 140.000 dodatnih NNID-ova“ koji su bili podložni zlonamjernom pristupu. Takođe je razjasnio da to pitanje nije posledica direktnog napada na Nintendo, već korisnika koji koriste iste lozinke na više mjesta. Kompromitovani na drugim platformama su vjerovatno prodati ili pokupljeni sa dark web-a.
Iskoristivši ranjivosti oko legacy naloga, hakeri su mogli da pristupe novijim nalozima, a potom i PayPal sredstvima koja su s tim povezana. Iako podaci o kreditnim karticama nisu bili direktno dostupni, hakeri su mogli da iskoriste svoj pristup ovim PayPal računima kako bi izvršili lažne kupovine za novije sisteme (poput Switch-a) koji su bili povezani preko zastarjelih login-ova. Pojedinosti kao što su nadimci, mejl adrese i datum rođenja takođe su potencijalno pregledale treće strane.
Korisnici snose dio krivice
Nintendo je otišao pravo na izvor problema i u potpunosti isključio NNID-ove, uvjeravajući korisnike da će refundirati lažne kupovine i – na kraju – ohrabrujući korisnike da se prijave sa dvofaktorskom autentifikacijom. U današnjoj izjavi Nintendo kaže da bi manje od jedan odsto ranjivih NNID-a moglo zapravo da se koristi za obavljanje lažnih transakcija. Lozinke za dodatnih 140.000 naloga su resetovane i kontaktirali su njihove vlasnike, a kompanija kaže da „preduzima dodatne mjere bezbijednosti“. Međutim, nije precizirano šta to tačno podrazumijeva.
Nintendo je bio na udaru kritike zbog načina na koji je prvobitno riješio situaciju, jer su mnogi optuživali kompaniju da ne djeluje dovoljno brzo i da nije pružila odgovarajuće smjernice pogođenim. Međutim zaključak da je problem u velikoj mjeri posledica repetitivnih korisničkih lozinki je trenutak za sve da nauče dobru praksu lozinki.
Izvor: Engadget