Wie HabboLando und mehrere englischsprachige Fanseiten berichten, sind heute Abend zahlreiche Habbos Opfer einer Sicherheitslücke im Habbo Hotel geworden. Angreifern ist es gelungen, mit Hilfe eines versteckten Links die Sicherheitsfragen der Nutzer zu deaktivieren und gleichzeitig an sensible Account Daten wie Passwörter und E-Mail Adressen zu gelangen, mit denen sie sich in Habbo Accounts einloggen konnten.

Sulake hatte die Situation zunächst falsch eingeschätzt und ging davon aus, dass es sich um normale Phishing Attacken handelte, bei denen Nutzer zu Fake-Login Seiten gelenkt werden, um dort irrtümlich ihr Passwort für z.B. kostenlose Raritäten einzugeben. Erst im Laufe des Abends hat Sulake die Falscheinschätzung erkannt und entsprechend reagiert. In den englischsprachigen Hotelnews werden die betroffenen Habbos aufgefordert, sich an das HelpTool zu wenden, falls ihr Account von der Übernahme betroffen ist.

Die Sicherheitslücke im Detail

Die Angreifer konnten anscheinend auf den offiziellen Fanseiten Links verbreiten oder teilweise mit Hilfe von JS-Injektionen unbemerkt injizieren. Es gab also auch auf mind. einer Fanseite eine ausgenutzte Lücke, die die Verbreitung des Links beschleunigte. Teilweise wurde den Habbos der Link auch im Hotel über den normalen Chat weitergeschickt. Die (im Hintergrund und vielleicht unwissentlich) geöffnete Seite leitete jedoch zu einer HabboCOM-Seite weiter, auf welcher im Namen des angemeldeten Accounts eine POST-Anfrage an die HabboAPI gesendet wurde. Dabei wurde ein Webformular ausgefüllt und übermittelt, wodurch die Sicherheitsfrage des betroffenen Accounts deaktiviert wurde und, wie es scheint, die sensiblen Daten an die Angreifer geschickt wurden.

Sulake hat die Lücke inzwischen schließen können und sich für die Unannehmlichkeiten entschuldigt. Leider ist noch nicht bekannt, wer für diese Angriffe verantwortlich ist. Fakt ist aber, dass es hoch professionell gehandhabt wurde. Eine Ernüchterung bleibt dennoch – derjenige, der die Sicherheitslücke über das HelpTool gemeldet hat, hat als Dankeschön 31 BC Tage und 1 Pokal erhalten. Der Dank dafür, das Habbo Hotel vor Schlimmerem bewahrt zu haben.