Sju milliarder Minecraft-kontoer hacket
Dette er en kort fortelling om blokker, ødelagte tillit, kompromitterte kontoer, omslag og en av de mest populære Minecraft-nettsidene. Regnskapet for mer enn 7 millioner medlemmer av Livbåt ble kompromittert tidligere i året, og dataene har angivelig blitt solgt til de høyeste budgiverne på Dark Net.
7 millioner brukere!
Det store bruddet ble oppdaget i januar. Hold deg oppdatert med de nyeste datalekkene. Følg disse 5 tjenestene og feeds fortsett med de nyeste datalekkasjer. Følg disse 5 tjenestene og feeds Les mer av Troy Hunt, sikkerhetsforsker bak Har jeg blitt pwned?? bruddvarslingssted. Han mottok et tips om dataene fra noen som var aktivt engasjert i handel med hacked påloggingsopplysninger, og hadde fått andre data fra den enkelte i fortiden.
“Dataene ble levert til meg av noen som er aktivt involvert i handel som har sendt meg andre data tidligere”
Hans funn eksponerte den mangelfulle sikkerheten på plass ved redningsbåt, og den like mangelfulle rekkefølgen av hendelser som fulgte bruddet.
Nytt brudd: I januar hadde Minecraft-samfunnet "Redningsbåt" 7M-kontoer eksponert. 6% var allerede i @haveibeenpwned https://t.co/LGaAniJH32
- Har jeg blitt pwned? (@haveibeenpwned) 26. april 2016
Redningsbåt kjører servere for tilpassede Minecraft Pocket Edition-miljøer Skal du få Minecraft Windows 10 Edition? Skal du få Minecraft Windows 10 Edition? Hvis du kjøpte Minecraft tidligere, kan du få Windows 10-utgaven gratis. Ellers kan du bruke en 90 minutters gratis prøveversjon. I mellomtiden se hvordan vi likte Minecraft på Windows 10. Les mer. Det lar spillere bruke den mobile versjonen av den ekstremt populære voxelbyggeren 10 Indie City og Base Builders å prøve akkurat nå! 10 Indie City og Base Builders å prøve nå! Det er en rekke indie-utviklere som jobber med en rekke fantastiske by- og basebygger-stilspill. La oss ta en titt på noen av de beste uavhengige basene og bybyggerne du kan spille ... Les mer for å delta i de ulike flerspillermodusene, for eksempel Capture the Flag, eller Survival. Båtbrukerne kobler til en fellesserver, registrerer sitt ønskede brukernavn med en e-postadresse og et passord. Ganske standard ting.
Ikke kjent med brukerne, redningsbåten har da passordene med den nå infamously svake MD5-algoritmen, noe som betyr at passordene ville vært enkle å sprekke ved hjelp av grunnleggende (og lett tilgjengelige) verktøy.
Etter lekkasjen
Når et selskap opplever et brudd på dataene som involverer brukerens personlige opplysninger, er det felles tiltak for å informere dem. Hvorfor bedrifter som bryter en hemmelighet, kan være en god ting. Hvorfor bedrifter som bryter en hemmelighet, kan være en god ting med så mye informasjon Internett, vi er alle bekymret for potensielle sikkerhetsbrudd. Men disse bruddene kan holdes hemmelige i USA for å beskytte deg. Det høres gal, så hva skjer? Les mer . Å la brukerne vite deres private e-postadresse og passord for kontoen sin har dessverre blitt ervervet av en potensielt skadelig enhet. Det virker ganske rimelig.
Redningsbåt neglisjert til å gjøre denne tilsynelatende grunnleggende oppgaven, i stedet bestemmer seg for at som brudddata ikke inneholdt finansiell informasjon, ville utløsing av et stille, tydelig, tilbakestilt passord reset sannsynligvis være tilstrekkelig. Selv da fortsetter sikkerhetsfeilhistorien, med redningsbåt som gir brukerne råd til å lage korte passord - bokstavelig talt motsatt av allment akseptert passordgenereringspraksis. 7 Passordfeil som sannsynligvis vil få deg til å ha hacket 7 Passordfeil som sannsynligvis vil få deg til å ha hacket De verste passordene til 2015 har blitt utgitt, og de er ganske bekymringsfulle. Men de viser at det er helt kritisk å styrke dine svake passord, med bare noen få enkle tweaks. Les mer .
“Forresten, vi anbefaler kort, men vanskelig å gjette passord. Dette er ikke nettbank.”
Til tross for livbåtens krav om en tilbakestilling av tilbakestilling på hele nettsiden, reagerte mange brukere som ble kontaktet i forhold til bruddet negativt, og sa at de ikke mottok en slik tilbakestilt e-post, eller et varsel når de kom inn i spillet eller koblet til en redningsbåt-server.
“Det er ille at de ble brutt i utgangspunktet, men ikke fortelle oss om det er enda verre”
Hva gikk galt?
Redningsbåtens brudd lyder som en liste over hva som ikke skal gjøres i nødstilfeller. Bruddet selv har umiddelbart plassert på # 7 i Har jeg blitt pwned? topp 10.
Det er de systematiske feilene som har tiltrukket seg slik oppmerksomhet. Ikke bare var e-postadressen og passordene brutt, men brukerne ble aktivt oppfordret til å svekke sin egen sjanse for å sikre personopplysningssikkerhet ved hjelp av en dårlig anbefaling av passord. Så for å virkelig toppen av det, hadde redningsbåten hashed passordene ved hjelp av en lett brytbar krypteringsmetode.
MD5
Hvis redningsbåt hadde valgt motsatt råd - bruk lengre passord med en kombinasjon av bokstaver, tall og symboler - dataene ville vært mye mindre attraktive for de datatelgere. Tenk på dette: Et passord som inneholder seks alfanumeriske tegn er begrenset til bare 626 (26 små bokstaver, 26 store bokstaver, tall 0-9). Selv ved hjelp av grunnleggende elektroniske verktøy, vil sikkerhetsforskere eller ondsinnede parter få det passordet sprakk i uker. Offline verktøy, ved hjelp av en kraftig datamaskin, vil den bli sprukket inn sekunder.
Sammenligning av de forferdelige passordrådene var deres egen dårlige sikkerhetstjeneste. Redningsbåt valgte usaltede MD5 hashes for å skjule plaintext passordene. Mens du tilbyr et grunnnivå for beskyttelse, ble MD5 designet for å tilby ekstremt rask, ressurslampkryptering. Hvordan virker kryptering, og er det virkelig trygt? Hvordan virker kryptering, og er det virkelig trygt? Les mer . Ved sin opprinnelse gjorde disse egenskapene MD5 et ganske praktisk verktøy. De fleste detaljhandel datamaskiner hadde rett og slett ikke nok strøm til å spre kryptering.
Imidlertid endrer tiden, og hjemmedatamaskinene våre er langt bedre enn de som utviklet seg for et tiår siden, og undergraver effektiviteten av noe som har blitt brukt med MD5.
Usorterte passord
Og bare for å gni salt i såret, reddet livbåt en siste blunder. MD5-hashene som beskytter passordene, var usaltede. Hva alt dette MD5 Hash-stoffet egentlig betyr [Teknologi forklart] Hva alt dette MD5 Hash-stoff egentlig betyr [Teknologi forklart] Her er en full nedlasting av MD5, hashing og en liten oversikt over datamaskiner og kryptografi . Les mer . Dette betyr at plaintext-passordene ikke ble kombinert med en unik verdi for hver brukerkonto, noe som gjør cracking og matchingsprosessen så mye lettere.
Salting sikrer i det vesentlige at hvert individuelt hashed-passord er helt unikt, selv om de inneholder identiske tegn. Alle som ønsker å se passordene, må slå hver hash individuelt.
Trygt å returnere?
Redningsbåt har ikke utstedt for mange påstander om brudd. Deres holdning, tror jeg, er at mens data brudd er forkastelig, da de ikke har ytterligere personlig informasjon eller økonomisk informasjon, bør skaden være relativt begrenset. Redningsbåt har også bekreftet at MD5 ikke lenger er i bruk på nettstedet eller på noen av dets servere.
“Da dette skjedde [i] begynnelsen av januar, regnet vi med det beste for våre spillere å tydelig tvinge en tilbakestilling av passord uten at hackerne visste at de hadde begrenset tid til å handle. Vi gjorde dette over en periode på noen uker.”
Selv om direkte skade er begrenset, kan det være en annen nedfall. Folk er generelt lat når det kommer til passord, og bruker bare en håndfull til å beskytte alle sine online kontoer.
"Bokstavelig talt var alle passordene mine, sosiale medier, Pe-servere, e-post etc. dette passordet, må jeg endre dem alle?" https://t.co/f2sh4Lz20f
- Troy Hunt (@troyhunt) 28. april 2016
Selv om risikoen for en enkelt brudd som utsettes for en rekke kontoer er forstørret, bør leksjonen være klar: Hvis du virkelig bryr deg om helheten i kontoene dine, dine private, personlige data og mer, bruk et sterkt, unikt passord for hver enkelt. Så når en tjeneste brytes, blir du ikke en statistikk.
Forresten, redningsbåter brukere: det er på tide å endre alle dine passord.
Har du blitt påvirket av redningsbåt hack? Vil du stole på livbåt igjen? Hvordan holder du oversikt over passordene dine? Gi oss beskjed nedenfor!
Utforsk mer om: Minecraft, Online Security, Passord, Sikkerhetsbrudd.