Nelle ultime ore, l'hotel di lingua inglese è stato afflitto da un potentissimo attacco hacking dovuto ad una vulnerabilità nel sito di Habbo. Potenzialmente, tutti gli hotel ne erano afflitti ma l'attacco è stato compiuto unicamente sull'hotel inglese.
Tale vulnerabilità consisteva nel modificare la pagina di Habbo stesso in modo da permettere a malintenzionati di ottenere i dati di utenti senza che loro se ne accorgessero minimamente. Inoltre, in remoto e dal browser dell'utente, veniva spento internamente il blocco di sicurezza, senza che il proprietario se ne accorgesse, utilizzando la password precedentemente ottenuta. Così, una volta ottenuto l'account sbloccato l'hacker poteva eseguire l'accesso e scammare indisturbato l'utente (come avvenuto per centinaia e centinaia di utenti)
Habbo guarda dall'altro lato e gli utenti esplodono dopo aver visto i loro furni e crediti mancanti
Lo Staff di Habbo ha in queste ore corretto la vulnerabilità, tuttavia non ha pubblicamente riconosciuto l'errore e comunicato che nessun furni rubato sarà restituito, dal momento che è responsabilità degli utenti che non si inseriscano i propri dati in siti sospetti. Gli utenti rispondono a queste affermazioni indignandosi su Twitter, dal momento che i loro dati sono stati inseriti sul sito di Habbo stesso e che lo scam è stato influenzato da una loro vulnerabilità.
Habbo NON blocca preventivamente gli scambi a tutto l'hotel
Ricorderete senz'altro
il bug dell'anello di smeraldo da 100 crediti a 1000 duckets avvenuto
a Giugno dell'anno scorso e come Habbo
abbia agito nell'immediato bloccando scambi,
mercatino e
conversione di furni di credito. Alcuni utenti pensano dunque che
Habbo agisca esclusivamente in tutela dei propri interessi e non faccia abbastanza quando si tratta
della tutela di potenziali account scammabili. Attualmente Habbo ha agito
con alcuni safety ban applicandoli
ad account già scammati, tuttavia si parla di una lista
di oltre 1.000 potenziali account ancora scammabili
ed un blocco totale degli scambi per alcune ore
li impedirebbe.
Habbo pubblica un comunicato senza però citare la vulnerabilità
"Siamo stati recentemente allertati che un link di phishing è stato pubblicato su alcuni fansite. Nonostante il collegamento sembri un legittimo URL di Habbo.com, dopo che gli utenti hanno cliccato su esso ed effettuato l'accesso al proprio account, potrebbero essere stati compromessi. Appena ci siamo resi conto del problema, abbiamo indagato e determinata la fonte.
Molti degli account interessati sono stati bannati, tuttavia stiamo ancora attraversando questo processo. puoi ancora giocare ad Habbo in modo sicuro e come sempre, i nostri consigli rimangono gli stessi - non cliccare mai su collegamenti esterni a Habbo se non sei sicuro da dove provengano. Se pensi di essere stato affetto da questo problema, contatta il supporto al giocatore."
Tale comunicato ha accresciuto la rabbia ed il disgusto di moltissimi utenti, anche coloro non coinvolti negli scam, dal momento che Habbo non sta ammettendo di essere stato afflitto da una vulnerabilità ma addossando la colpa agli utenti ed indirettamente ai fansite.
Sono nate nelle ultime ore delle vere e proprie faide su questa storia, da una parte abbiamo Habbo che addossa la responsabilità agli utenti e ai fansite, dall'altra chi risente di tali affermazioni ritenendole illazioni e dall'altra ancora utenti dalla parte di Habbo che credono che sia colpa dei fansite. Nonostante alcuni utenti ritengano responsabili i fansite e ne stiano prendendo le distanze dicendo che non li visiteranno mai più e che Habbo dovrebbe cessare la collaborazione con loro, i fansite hanno avuto un ruolo chiave per risolvere la vulnerabilità di Habbo, essendo stata segnalata proprio dall'admin di un fansite tramite twitter.
Conversazione via DM su twitter tra Habbo e l'admin di un fansite:
Admin di un fansite: Ehi, so che odiate i DM ma avevo bisogno che qualcuno guardasse al più presto le informazioni dell'email. Ho inviato all'indirizzo fansite un falla sulla sicurezza nel sito web di Habbo.
Habbo: Grazie per le averci informato Andy - per cose urgenti come queste è perfetto. È solo quando le persone pensano di poter saltare la coda del supporto al giocatore con i DM che non è consentito. Ho trasmesso queste informazioni a WaltzMatilda, grazie ancora.
Admin di un fansite: Nessun problema! Quello che fa è rimuovere le domande di sicurezza e ottenere l'email e la password e passarli ad un sito database che sta crescendo sempre di più di recente.
Habbo: WaltzMatilda ha passato ciò al team tecnico, grazie per averci messo in evidenza la cosa.
Clicca sull'immagine per ingrandirla 
Habbo Staff via email all'admin in questione:
Hey!
Scusa se non ti ho risposto prima - Questa è stata una buona informazione, grazie! Abbiamo risolto il problema e abbiamo dato un ban di sicurezza agli account colpiti. Per questa informazione vorrei darti 31 giorni di BC ed un trofeo, puoi dirmi su quale account li desideri?
Clicca sull'immagine per ingrandirla
[UPDATE - 15:00]
Habbo ha finalmente ammesso le sue colpe, dopo le molteplici polemiche avvenute su Twitter ha aggiornato il proprio comunicato dicendo che avevano postato un comunicato troppo frettolosamente e con informazioni sbagliate, scusandosi con gli utenti colpiti da ciò.
"Habbo: con lo sviluppo degli eventi e con la scoperta di nuove informazioni da parte dei nostri sviluppatori, è diventato chiaro che abbiamo pubblicato un articolo senza i fatti giusti. Ci scusiamo con tutti coloro che sono stati colpiti da questo.
Da quello che abbiamo originariamente compreso, un link di phishing che si presentava come legittimo link Habbo è stato pubblicato su alcune pagine di fansites, e quando questo link veniva cliccato, l'utente veniva portato alla pagina di login di habbo.com. Sembra che questo collegamento fosse molto meglio nascosto su alcuni fansites precedentemente descritti."
Thanks to Habbo-Happy.net and ThisHabbo.com
@Voldemort33221 - Sei scemo o mangi i sassi? Forse entrambe. Aldilà di questo, il ''danno'' è avvenuto a discapito degli utenti, non del sito, quindi non è tanto un gesto di cui gioire e godere perché il sito lo merita sotto determinati aspetti, bensì un gesto che va a colpire chi come te milita in Community da anni, che probabilmente ci ha speso soldi, ci ha speso tempo e quant'altro. Scrivi 4 righe e dici 18 minchiate, non capisco perché dici sempre che ti fa schifo, che il sito lucra ecc ecc... E non te ne vai mai! Forse la risposta è proprio il fatto che sei scemo e mangi i sassi.
@Voldemort33221 - il tuo commento non ha senso
Un po è bello che habbo sia stato scammato così impara a rovinare il vecchio habbo solo per scopi di lucro ... però sono disgustato da habbo che incolpa gli utenti e li banna solo perchè sono facilmente scammabili..... A questo punto chiudessero habbo che fa schifo
ok capito. Mi sfugge però una cosa: fino a dora dunque (prima della correzione operata da sulake) la vulnerabilità è sempre esistita? Cioè siamo stati TUTTI a rischio da quando hanno implementato la nuova versione? Si può conoscere qualche dettaglio maggiore(anche attraverso PM) su come abbiano sfruttato questa vulnerabilità (sempre che sia stata già corretta altrimenti si dà un suggerimento...)
@eleonoraporta La vulnerabilità riguardava il sito di Habbo, che utilizzata a dovere permetteva il furto dei dati degli utenti (oltre a rimuovere le impostazioni di sicurezza). Quindi niente phishing o fake login ecc ecc ma una vera e proprio falla nel sito di Habbo. Potevi accedere da qualsiasi link che ti fregavano lo stesso in quanto non c'entrano nulla con questa storia. La vulnerabilità poi se non corretta non è temporanea, ma rimane lì. Qualsiasi cosa sia radionmy non è normale che chieda credenziali. Dovresti fare un po' di pulizia mi sa...
Cmq non ho capito bene...mi sembra che s egli utenti avessero eseguito l'accesso su habbo non solo attraverso il link del fansite ma anche dall 'url precedentemente messo in preferiti o ricavato da google o digitato a mano con https hotel avrebbero ugualmente fornito le credenziali ai maleintenzionati? C'era cioè una vulnerabilità temporanea proprio sulla home page ufficiale? Gravissimo allora! Quale era il periodo (da ora e giorno a ora e giorno) in cui gli utenti avrebbero potuto essere scammati se entrati? e poi cosa è radionmy? mi compare questa richiesta di credenziali da un sito sconosciuto
Cmq davvero MAI cliccare su link (anche se sono sui fansite) per accedere al gioco! Meglio mettere il link nei preferiti e accedere sempre con FB o google senza cliccare mai email e pass:(
..e quindi? gli utenti avranno indietro i loro crdt efurni? Basterebbe ripristinare ad un momento prima dell'evento di fake login? Oppure..vige sempre: .. non cliccare mai su collegamenti esterni a Habbo ....
good job
Non ho parole (...)
@HabboOk! - Nono non c'entra, era solo un pirla
@Teschietto96 Sì ho appena letto la news... voglio vedere come finisce per gli utenti scammati. Ma proposito hai cancellato tu quel post di ieri a cui avevo pure risposto, in inglese di quel tipo che parlava delle falle del myBB? Mi sa che c'entrava proprio con questo scam .-.
@HabboOk! - A quanto pare hanno compreso di star facendo una cazzata ed hanno pubblicato un nuovo aggiornamento alla news addossandosi finalmente la responsabilità e fingendo di non aver capito bene come fossero avvenuti gli scam, quando in realtà lo sapevano benissimo visto che avevano fixato la vulnerabilità. Falsi e bugiardi proprio
@Teschietto96 Esatto. Ho capito qual è la situazione... e proprio perché l'ho capita mi sembra irreale. Una vulnerabilità di Habbo stesso che permette l'impossessarsi di tutti gli account in modo completo viene addossata ad utenti e fansite che NON C'ENTRANO NIENTE tramite un comunicato UFFICIALE. Senza parole proprio.
@HabboOk! - I famosi "siti phishing" a cui fa riferimento Habbo, è in realtà Habbo stesso. L'articolo è corretto, è Habbo che sta addossando la responsabilità all'utenza ed ai fansite anziché prendersi le proprie responsabilità.
What...? L'articolo dice che la vulnerabilità "consisteva nel modificare la pagina di Habbo stesso in modo da permettere a malintenzionati di ottenere i dati di utenti senza che loro se ne accorgessero minimamente" Mentre il comunicato di habbo parla di link di phishing sui fansite. Sono due cose completamente diverse, non le si può confondere, penso sia il caso di aggiornare l'articolo quando più informazioni saranno rilasciate. Se è come dice Habbo ovviamente non possono fare nulla per i link pubblicati altrove... Se invece ha ragione l'admin del fansite e la vulnerabilità era su Habbo allora non ho parole, non possono rilasciare un comunicato completamente falso e bugiardo. Cose da denuncia.