Forside Sikkerhed SYV MILLION Minecraft-konti hacket

SYV MILLION Minecraft-konti hacket

  • Mark Lucas
  • 0
  • 3046
  • 777
Reklame

Dette er en kort fortælling om blokke, brudt tillid, kompromitterede konti, cover-ups og et af de mest populære Minecraft-community-sider. Konti for mere end 7 millioner medlemmer af Redningsbåd blev kompromitteret tidligere på året, og dataene er angiveligt solgt til de højeste budgivere på Dark Net.

7 millioner brugere!

Det massive overtrædelse blev opdaget i januar Hold dig opdateret med de nyeste datalækager - Følg disse 5 tjenester og feeds Følg med de seneste datalækager - Følg disse 5 tjenester og feeds af Troy Hunt, sikkerhedsforskeren bag Er jeg blevet pwned? overtrædelsesmeddelelseswebsted. Han modtog et tip om dataene fra nogen, der aktivt var involveret i handel med hacket login-legitimationsoplysninger, og han havde modtaget andre data fra personen i fortiden.

“Dataene blev leveret til mig af nogen, der aktivt var involveret i handel, som tidligere har sendt mig andre data”

Hans opdagelse afslørede den mangelfulde sikkerhed, der var på plads ved redningsbåden, og den lige så mangadaisiske rækkefølge af begivenheder, der fulgte overtrædelsen.

Ny overtrædelse: I Jan havde Minecraft-samfundet "Redningsbåde" udsat for 7 millioner konti. 6% var allerede i @haveibeenpwned https://t.co/LGaAniJH32

- Er jeg blevet pwned? (@haveibeenpwned) 26. april 2016

Redningsbåd kører servere til tilpassede Minecraft Pocket Edition-miljøer. Skal du hente Minecraft Windows 10 Edition? Bør du hente Minecraft Windows 10-udgaven? Hvis du har købt Minecraft i fortiden, kan du få Windows 10-udgaven gratis. Ellers kan du bruge en 90 minutters gratis prøveperiode. I mellemtiden kan du se, hvordan vi kunne lide Minecraft på Windows 10.. Det giver spillere, der bruger den mobile version af den ekstremt populære voxel-builder 10 Indie City og Base Builders, mulighed for at prøve lige nu! 10 indieby- og basebygere at prøve lige nu! Der er en række indie-udviklere, der arbejder på en række fantastiske by- og basebygger-spil. Lad os se på nogle af de bedste uafhængige base- og bybyggere, du kan spille ... for at deltage i de forskellige multiplayer-tilstande, såsom Capture the Flag eller Survival. Redningsbådbrugere opretter forbindelse til en community-server ved at registrere deres ønskede brugernavn med en e-mail-adresse og adgangskode. Temmelig standard ting.

Ubekendt af brugerne har redningsbåd derefter passet adgangskoder med den nu berygtede svage MD5-algoritme, hvilket betyder, at adgangskoder ville have været let at knække ved hjælp af grundlæggende (og let tilgængelige) værktøjer.

Efter lækagen

Når en virksomhed oplever en dataovertrædelse, der involverer deres brugeres personlige oplysninger, er den almindelige handling at informere dem om, hvorfor virksomheder, der holder et brud på en hemmelighed, kan være et godt ting, hvorfor virksomheder, der holder en overtrædelse af en hemmelighed, kan være en god ting med så meget information online, er vi alle bekymrede over potentielle sikkerhedsbrud. Men disse overtrædelser kunne holdes hemmelige i USA for at beskytte dig. Det lyder vanvittigt, så hvad sker der? . At lade brugerne kende deres private e-mail-adresse og adgangskode til deres konto er desværre erhvervet af en potentielt ondsindet enhed. Det synes ganske rimeligt.

Redningsbåd forsømte at udføre denne tilsyneladende basale opgave, idet den i stedet besluttede, at da de overtrådte data ikke indeholdt økonomiske oplysninger, ville det sandsynligvis være tilstrækkeligt at udløse en stille nulstillet adgangskode til hele webstedet. Selv da fortsætter sikkerhedsfejlhistorien, med redningsbåd, der rådgiver deres brugere om at oprette korte adgangskoder - bogstaveligt talt det modsatte af almindeligt accepteret adgangskodegenereringspraksis. 7 Adgangskodefejl, der sandsynligvis får dig til at blive hacket. 2015 er blevet frigivet, og de er ret bekymrende. Men de viser, at det er absolut kritisk at styrke dine svage adgangskoder med blot et par enkle justeringer. .

“For øvrig anbefaler vi korte, men vanskelige at gætte adgangskoder. Dette er ikke netbank.”

På trods af at redningsskibets påstande om en nulstillet adgangskode til hele webstedet reagerede mange brugere, der kontaktede i forhold til overtrædelsen negativt, sagde de ikke nogen sådan nulstillet e-mail eller en anmeldelse, når de kom ind i spillet eller oprettede forbindelse til en redningsbådserver.

“Det er dårligt, at de blev brudt i første omgang, men at ikke fortælle os om det er endnu værre”

Hvad gik galt?

Dataovertrædelsen i redningsbåden lyder som en liste over, hvad man ikke skal gøre i tilfælde af en nødsituation. Selve overtrædelsen er straks placeret på nr. 7 i Er jeg blevet pwned Top 10.

Det er de systematiske svigt, der har tiltrukket en sådan opmærksomhed. Ikke kun blev e-mail-adresse og adgangskoder brudt, men brugerne blev aktivt opfordret til at svække deres egen chance for at sikre personlig datasikkerhed ved en dårlig anbefalet adgangskodeanbefaling. Derefter havde redningsskibet hashet adgangskoder ved hjælp af en let brudbar krypteringsmetode for virkelig at top-off det.

MD5

Hvis redningsbåden havde valgt det modsatte råd - brug længere adgangskoder med en kombination af bogstaver, tal og symboler - ville dataene have været meget mindre attraktive for disse datahandlere. Overvej dette: en adgangskode, der indeholder seks alfanumeriske tegn, er begrænset til kun 626 (26 små bogstaver, 26 store bogstaver, tal 0-9). Selv ved hjælp af grundlæggende onlineværktøjer vil sikkerhedsforskere eller ondsindede parter få adgangskoden revnet i løbet af uger. Offline-værktøjer, ved hjælp af en kraftfuld computer, bliver det brudt ind sekunder.

Det samlede råd om frygtelige adgangskoder var deres egen dårlige husholdning. Redningsbåd har valgt usaltede MD5-hascher for at skjule klartekst-adgangskoder. Mens MD5 tilbyder et grundlæggende beskyttelsesniveau, blev MD5 designet til at tilbyde ekstremt hurtig, kryptering af ressourcelys. Hvordan fungerer kryptering, og er det virkelig sikkert? Hvordan fungerer kryptering, og er det virkelig sikkert? . På grund af sin oprettelse gjorde disse kvaliteter MD5 til et ret praktisk værktøj. De fleste detailcomputere havde simpelthen ikke nok strøm til at knække krypteringen.

Tiderne ændrer sig imidlertid, og vores hjemmecomputere er meget overlegne dem, der er udviklet for blot et årti siden, hvilket undergraver drastisk effektiviteten af ​​noget hashet ved hjælp af MD5.

Usaltede adgangskoder

Og bare for at gnide salt i såret lavede redningsbåden en sidste bommert. MD5-hascher, der beskyttede adgangskoder, var usaltede Hvad alt dette MD5 Hash-materiale faktisk betyder [Teknologi forklaret] Hvad alt dette MD5 Hash-stof faktisk betyder [Teknologi forklaret] Her er en fuld nedslibning af MD5, hashing og en lille oversigt over computere og kryptografi . . Dette betyder, at almindelige adgangskoder ikke blev kombineret med en unik værdi for hver brugerkonto, hvilket gør kraknings- og matchingprocessen så meget lettere.

Saltning sikrer dybest set, at hver enkelt hashet adgangskode er helt unik, selvom de indeholder identiske tegn. Enhver, der ønsker at se adgangskoder, bliver nødt til at knække hver hash individuelt.

Safe to Return?

Redningsbåd har ikke udsendt for mange erklæringer om overtrædelsen. Deres holdning er, efter min mening, fortsat, at selvom dataovertrædelsen er forkastelig, da de ikke har yderligere personlige oplysninger eller økonomiske oplysninger, skal skaden være relativt begrænset. Redningsskib har også bekræftet, at MD5 ikke længere er i brug på webstedet eller på nogen af ​​dets servere.

“Da dette skete [i] begyndelsen af ​​januar, regnede vi med, at det bedste for vores spillere var at stille tvinge en nulstilling af adgangskode uden at lade hackerne vide, at de havde begrænset tid til at handle. Vi gjorde dette over en periode på nogle uger.”

Selv hvis den direkte skade er begrænset, kan der være andet fald. Folk er generelt dovne når det kommer til adgangskoder og bruger kun en håndfuld til at beskytte alle deres online konti.

"Bogstaveligt talt alle mine adgangskoder, sociale medier, Pe-servere, e-mail osv. Var denne adgangskode, skal jeg ændre dem alle?" https://t.co/f2sh4Lz20f

- Troy Hunt (@troyhunt) 28. april 2016

Mens risikoen for, at et enkelt brud udsættes for et antal konti, forstørres, bør lektionen være klar: Hvis du virkelig interesserer dig for dine kontos hellighed, dine private, personlige data og mere, skal du bruge en stærk, unik adgangskode til hver enkelt. Så når en tjeneste overtrædes, bliver du ikke en statistik.

Forresten, redningsbådbrugere: det er tid til at ændre sig alle dine adgangskoder.

Er du blevet påvirket af redningsbåd-hacket? Vil du stole på Redningsbåden igen? Hvordan holder du styr på dine adgangskoder? Fortæl os det nedenfor!




Endnu ingen kommentarer

11 enkle trin til vellykkede sociale medier
Sociale medier
Hvorfor en algoritmeændring ville være Twitter's død
Sociale medier
10 nye Facebook-tricks, du skulle vide om i 2016
Sociale medier
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.