СЕМЬ МИЛЛИОНОВ учетных записей Minecraft взломаны

Это короткий рассказ о блокировках, нарушенном доверии, взломанных учетных записях, сокрытиях и одном из самых популярных сайтов сообщества Minecraft. Ранее в этом году были взломаны аккаунты более 7 миллионов участников Lifeboat , и, как сообщается, данные были проданы тем, кто предложил самую высокую цену в Dark Net.

7 миллионов пользователей!

Массовое нарушение было обнаружено в январе Троем Хантом, исследователем безопасности, стоящим за сайтом уведомлений о взломе Был ли я взломан? . Он получил наводку относительно данных от кого-то, кто активно занимался торговлей взломанными учетными данными для входа в систему, и ранее уже получал от этого человека другие данные.

«Данные были предоставлены мне кем-то, кто активно участвовал в торговле, кто присылал мне другие данные в прошлом»

Его Открытие выявило вялую безопасность на месте спасательной шлюпки и столь же вялую последовательность событий, последовавших за взломом.

Новое нарушение: в январе сообщество Minecraft «Lifeboat» обнаружило 7 миллионов учетных записей. 6% уже были в @haveibeenpwned https://t.co/LGaAniJH32

— Меня поймали (@haveibeenpwned) 26 апреля 2016 г.

Lifeboat запускает серверы для пользовательских сред Minecraft Pocket Edition. Это позволяет игрокам, использующим мобильную версию чрезвычайно популярного конструктора вокселей, участвовать в различных многопользовательских режимах, таких как Capture the Flag или Survival. Пользователи Lifeboat подключаются к серверу сообщества, регистрируя желаемое имя пользователя с адресом электронной почты и паролем. Довольно стандартный материал.

Незаметно для пользователей, Lifeboat затем хэшировал пароли с помощью теперь печально известного слабого алгоритма MD5, что означает, что пароли будут иметь было легко взломать с помощью основных (и легкодоступных) инструментов.

После утечки

Когда компания сталкивается с утечкой данных, затрагивающей личные данные своих пользователей, обычно их следует проинформировать. К сожалению, сообщение пользователям об их личном адресе электронной почты и пароле от учетной записи было получено потенциально злонамеренным лицом. Это кажется вполне разумным.

Спасательная шлюпка не выполнила эту, казалось бы, простую задачу, вместо этого решив, что, поскольку взломанные данные не содержат финансовой информации, запуск тихого сброса пароля для всего сайта, вероятно, будет достаточным.. Даже в этом случае история недостатков безопасности продолжается, когда Lifeboat советует своим пользователям создавать короткие пароли — в буквальном смысле противоположность широко распространенной практике создания паролей.

«Кстати, мы рекомендуем короткие, но трудно угадываемые пароли. Это не онлайн банкинг.»

Однако, несмотря на заявления Lifeboat о сбросе пароля для всего сайта, многие пользователи, с которыми связались по поводу нарушения, ответили отрицательно, заявив, что они не получали ни одного такого электронного письма для сброса, или уведомление при входе в игру или подключении к серверу Lifeboat.

«Плохо, что они вообще были взломаны, но не сказать нам об этом еще хуже»

Что пошло не так?

Нарушение данных Lifeboat читается как список того, чего нет делать в случае чрезвычайной ситуации. Само нарушение сразу же оказалось на 7-м месте в «Был ли я взят в топ-10».

Именно систематические ошибки привлекли такое внимание. Были взломаны не только адрес электронной почты и пароли, но и пользователи активно поощрялись к тому, чтобы ослабить свои собственные шансы на обеспечение безопасности личных данных с помощью необдуманных рекомендаций по паролю. Затем, в довершение всего, Lifeboat хэшировал пароли с помощью легко взламываемого метода шифрования.

MD5

Если Lifeboat выбрал противоположный совет — используйте более длинные пароли с сочетание букв, цифр и символов — данные были бы гораздо менее привлекательными для этих трейдеров. Учтите следующее: пароль, содержащий шесть буквенно-цифровых символов, ограничен 62 6 (26 строчных, 26 прописных, цифры 0-9). Даже используя базовые онлайн-инструменты, исследователи безопасности или злоумышленники смогут взломать этот пароль за несколько недель. Автономные инструменты, использующие мощный компьютер, будут взломаны за секунд .

Ужасный совет по паролю усугублялся их собственной плохой системой безопасности. Lifeboat выбрал несоленые хэши MD5, чтобы скрыть пароли в виде открытого текста. Предлагая базовый уровень защиты, MD5 был разработан, чтобы предложить чрезвычайно быстрое и экономичное шифрование. С самого начала эти качества сделали MD5 довольно удобным инструментом. У большинства розничных компьютеров просто не хватило мощности, чтобы взломать шифрование.

Однако времена меняются, и наши домашние компьютеры значительно превосходят компьютеры, разработанные всего десять лет назад, что резко подрывает эффективность всего хеширования с использованием MD5.

Пароли без соли

И просто чтобы соль в рану, Спасательная шлюпка совершила последний промах. Хэши MD5, защищающие пароли, не содержали соли. Это означает, что пароли в виде открытого текста не были объединены с уникальным значением для каждой учетной записи пользователя, что значительно упростило процесс взлома и сопоставления.

Salting в основном гарантирует, что каждый индивидуально хешированный пароль будет полностью уникальным, даже если они содержат идентичные символы. Любому, кто хочет просмотреть пароли, придется взламывать каждый хеш отдельно.

Можно возвращать?

Спасательная шлюпка не делал слишком много заявлений о нарушении. Я считаю, что их позиция по-прежнему заключается в том, что, хотя утечка данных достойна осуждения, поскольку они не хранят никакой дополнительной личной или финансовой информации, ущерб должен быть относительно ограниченным. Lifeboat также подтвердила, что MD5 больше не используется на сайте или на каком-либо из его серверов.

«Когда это произошло [в] начале января, мы решили, что лучше всего для наших игроков было чтобы незаметно принудительно сбросить пароль, не сообщая хакерам, что у них есть ограниченное время для действий. Мы делали это в течение нескольких недель ».

Даже если прямой урон ограничен, могут быть другие выпадения. Люди обычно ленивы, когда дело доходит до паролей, и используют лишь горстку паролей для защиты всех своих учетных записей в Интернете.

Хотя риск однократного взлома нескольких учетных записей возрастает, урок должен быть ясен: если вы действительно заботитесь о неприкосновенности своих учетных записей, ваших личных, личных данных и т. д., используйте надежный уникальный пароль для каждого. Поэтому, когда услуга взломана, вы не станете статистикой.

Кстати, пользователи Lifeboat: пора сменить все ваши пароли.

Пострадали ли вы от взлома Lifeboat? Вы снова будете доверять шлюпке? Как вы отслеживаете свои пароли? Сообщите нам об этом ниже!

.

Оцените статью
oilgasindustry.ru
Добавить комментарий