SEV MILLION Minecraft-konton hackade
Det här är en kort historia om block, brutet förtroende, kompromisserade konton, omslag och en av de mest populära Minecraft-gemenskapens webbplatser. Räkenskaperna för mer än 7 miljoner medlemmar av Livbåt äventyras tidigare på året, och uppgifterna har enligt uppgift sålts till de högsta budgivarna på Dark Net.
7 miljoner användare!
Den omfattande överträdelsen upptäcktes i januari Håll dig uppdaterad med de senaste data läckorna - följ dessa 5 tjänster och flöden fortsätt med de senaste data läckorna - följ dessa 5 tjänster och flöden Läs mer av Troy Hunt, säkerhetsforskaren bakom Har jag blivit pwned? anmälningsplats för brott. Han fick ett tips om uppgifterna från någon som aktivt var engagerad i handeln med hackade inloggningsuppgifter, och hade fått andra uppgifter från individen i det förflutna.
“Uppgifterna har lämnats till mig av någon som aktivt deltar i handeln som har skickat mig andra uppgifter tidigare”
Hans upptäckt avslöjade den bristfälliga säkerheten på plats vid livbåt, och den lika bristfälliga sekvensen av händelser som följde överträdelsen.
Ny överträdelse: I januari hade Minecraft-samfundet "Redningsbåt" 7 miljoner konton utsatta. 6% var redan i @haveibeenpwned https://t.co/LGaAniJH32
- Har jag blivit pwned? (@haveibeenpwned) 26 april 2016
Reddingsbåt kör servrar för anpassade Minecraft Pocket Edition-miljöer Ska du få Minecraft Windows 10 Edition? Ska du få Minecraft Windows 10 Edition? Om du köpt Minecraft tidigare kan du få Windows 10-utgåvan gratis. Annars kan du använda en 90 minuters gratis provperiod. Under tiden se hur vi tyckte om Minecraft på Windows 10. Läs mer. Det låter spelare använda den mobila versionen av den extremt populära Voxel-Builder 10 Indie City och Base Builders att försöka just nu! 10 Indie City och Base Builders att försöka just nu! Det finns en rad indieutvecklare som arbetar med en mängd fantastiska spel och basbyggare-stilspel. Låt oss ta en titt på några av de bästa oberoende bas- och stadsbyggarna som du kan spela ... Läs mer för att delta i de olika flerspelarlägena, till exempel Capture the Flag eller Survival. Användare av redningsbåtar ansluter till en community-server, registrerar sitt önskade användarnamn med en e-postadress och ett lösenord. Ganska vanliga saker.
Redan för användarna, har reddingsbåten sedan lösenorden med den nu infamously svaga MD5-algoritmen, vilket innebär att lösenorden skulle ha varit lätt att spricka med hjälp av grundläggande (och lättillgängliga) verktyg.
Efter läckan
När ett företag upplever en dataöverträdelse som involverar användarnas personliga uppgifter är den gemensamma handlingsplanen att informera dem varför företag som bryter mot en hemlighet kan vara bra eftersom företag som bryter mot en hemlighet kan vara bra med så mycket information På nätet oroar vi alla för potentiella säkerhetsbrott. Men dessa överträdelser kan hållas hemliga i USA för att skydda dig. Det låter galet, så vad händer? Läs mer . Att låta användarna känna till sin privata e-postadress och lösenord för deras konto har tyvärr förvärvats av en potentiellt skadlig enhet. Det verkar ganska rimligt.
Reddingsbåten försummade att göra denna till synes grundläggande uppgift, istället besluta att det inte skulle vara tillräckligt att utlösa en tyst webbplatsövergripande lösenordsåterställning eftersom de överträdda uppgifterna inte innehöll någon ekonomisk information. Även då fortsätter säkerhetsbristhistorien, med livbåt som ger användarna råd om att skapa korta lösenord - bokstavligen motsatsen till allmänt accepterad lösenordsgenerering. 7 Lösenordsfel som sannolikt kommer att få dig hackad. 7 Lösenordsmissor som sannolikt kommer att få dig hackade De värsta lösenorden för 2015 har släppts, och de är ganska oroande. Men de visar att det är absolut nödvändigt att stärka dina svaga lösenord, med bara några enkla tweaks. Läs mer .
“Förresten, vi rekommenderar kort, men svårt att gissa lösenord. Det här är inte webbbank.”
Trots att Reddingsbåt påstod en webbplatsövergripande återställning av lösenord, svarade många användare som kontaktades i förhållande till överträdelsen negativt och sa att de inte fick något sådant återställnings-e-postmeddelande eller en anmälan när de kom in i spelet eller kopplade till en livbåtsserver.
“Det är dåligt att de bryts i första hand, men inte berätta om det är ännu värre”
Vad gick fel?
Uppdateringen av redningsbåten lyder som en lista över vad som inte ska göras i händelse av en nödsituation. Brottet har omedelbart placerats vid # 7 i Har jag blivit pwned topp 10.
Det är de systematiska misslyckanden som har lockat sådan uppmärksamhet. Inte bara var e-postadressen och lösenorden bruten, men användarna uppmanades aktivt att försvaga sin egen chans för att säkerställa personlig datasäkerhet genom en dåligt rekommenderad lösenordsrekommendation. Sedan för att verkligen överträffa det, hade reddingsbåten hashed lösenorden med en lätt brytbar krypteringsmetod.
MD5
Om livbåten hade valt motsatta råd - använd längre lösenord med en kombination av bokstäver, siffror och symboler - uppgifterna skulle ha varit mycket mindre attraktiva för dessa datahandlare. Tänk på följande: Ett lösenord med sex alfanumeriska tecken är begränsat till bara 626 (26 små bokstäver, 26 versaler, siffror 0-9). Även med hjälp av grundläggande onlineverktyg kommer säkerhetsforskare eller skadliga parter att ha det lösenordet knäckt i veckor. Offlineverktyg, med en kraftfull dator, kommer det att bli knäckt i sekunder.
Att sammanföra det hemska lösenordet råd var deras egna dåliga säkerhetshushållning. Reddingsbåt valde osaltade MD5-hascher för att dölja plaintext-lösenorden. Medan du erbjuder en grundläggande skyddsnivå, har MD5 utformats för att erbjuda extremt snabb, resursljuskryptering. Hur fungerar kryptering och är det verkligen säkert? Hur fungerar kryptering och är det verkligen säkert? Läs mer . Vid dess framställning gjorde dessa egenskaper MD5 till ett ganska användbart verktyg. De flesta detaljdatorer hade helt enkelt inte tillräckligt med ström för att krossa krypteringen.
Tiderna ändras dock och våra hemmedatorer är mycket överlägsen de som utvecklats för bara tio år sedan och drabbade drastiskt effektiviteten av allt som har använts med MD5.
Osaltade lösenord
Och bara för att gnugga salt i såret gjorde livbåten en slutgiltig blundring. MD5-hackarna som skyddar lösenorden var osaltade Vad allt detta MD5-hash-material faktiskt betyder [Teknologi förklarat] Vad allt detta MD5-hash-material faktiskt betyder [Teknologi förklarat] Här är en full nedgång av MD5, hash och en liten översikt över datorer och kryptografi . Läs mer . Det betyder att plaintext-lösenorden inte kombinerades med ett unikt värde för varje användarkonto, vilket gör cracking och matchningsprocessen mycket enklare.
Saltning garanterar i princip att varje enskilt hashed-lösenord är helt unikt, även om de innehåller identiska tecken. Den som vill visa lösenordet måste spricka varje hash individuellt.
Säker att återvända?
Reddingsbåten har inte utfärdat för många påståenden om överträdelsen. Deras ståndpunkt är enligt min mening att även om dataöverträdelsen är avskyvärt, eftersom de inte innehåller någon ytterligare personlig information eller ekonomisk information, bör skadan vara relativt begränsad. Reddingsbåt har också bekräftat att MD5 inte längre används på webbplatsen eller på någon av dess servrar.
“När detta hände [i] början av januari var vi det bästa för våra spelare att tyst tvinga en lösenordsåterställning utan att låta hackarna veta att de hade begränsad tid att agera. Vi gjorde det under en period av några veckor.”
Även om den direkta skadan är begränsad kan det finnas annan nedgång. Människor är vanligtvis lat när det gäller lösenord, med bara en handfull för att skydda alla sina online-konton.
"Bokstavligen var alla lösenord, sociala medier, Pe-servrar, e-post etc. det här lösenordet, måste jag ändra dem alla?" https://t.co/f2sh4Lz20f
- Troy Hunt (@troyhunt) 28 april 2016
Medan risken för ett enda brott som utsätter ett antal konton är förstorat, bör lektionen vara tydlig: om du verkligen bryr dig om kontouternas helhet, dina privata, personuppgifter och mer, använder du ett starkt och unikt lösenord för varje enskild. Så när en tjänst bryts kommer du inte att bli en statistik.
Förresten, användare av livbåtar: det är dags att byta alla dina lösenord.
Har du påverkats av redningsbåtshacken? Kommer du att lita på livbåt igen? Hur håller du koll på dina lösenord? Låt oss veta nedan!
Utforska mer om: Minecraft, Online Säkerhet, Lösenord, Säkerhetsbrott.