Sicurezza

SEVEN MILLION Minecraft Accounts Hacked

SEVEN MILLION Minecraft Accounts Hacked / Sicurezza

Questa è una breve storia di blocchi, fiducia infranta, account compromessi, cover-up e uno dei siti di community Minecraft più popolari. I conti di oltre 7 milioni di membri di scialuppa di salvataggio sono stati compromessi all'inizio dell'anno e i dati sono stati venduti ai migliori offerenti della Rete Oscura.

7 milioni di utenti!

L'enorme falla è stata scoperta a gennaio Continua con le ultime perdite di dati - Segui questi 5 servizi e feed Tenetevi aggiornati con le ultime perdite di dati - Segui questi 5 servizi e feed Leggi di più da Troy Hunt, il ricercatore di sicurezza dietro il Sono stato pwned? sito di notifica di violazione. Ha ricevuto una soffiata riguardante i dati di qualcuno attivamente impegnato nel commercio di credenziali di accesso compromesse e aveva ricevuto altri dati dall'individuo in passato.

“I dati mi sono stati forniti da qualcuno attivamente coinvolto nel trading che mi ha inviato altri dati in passato”

La sua scoperta ha messo in luce la mancanza di sicurezza in vigore a Lifeboat e la sequenza altrettanto spregiudicata degli eventi che hanno seguito la violazione.

Nuova violazione: a gennaio, la comunità di Minecraft "Scialuppa di salvataggio" ha esposto 7 milioni di account. Il 6% era già in @haveibeenpwned https://t.co/LGaAniJH32

- Sono stato falciato? (@haveibeenpwned) 26 aprile 2016

Lifeboat esegue server per ambienti Minecraft Pocket Edition personalizzati Dovresti ottenere Minecraft per Windows 10 Edition? Dovresti ottenere l'edizione di Windows 10 di Minecraft? Se hai acquistato Minecraft in passato, puoi ottenere l'edizione di Windows 10 gratuitamente. Altrimenti, potresti utilizzare una prova gratuita di 90 minuti. Nel frattempo, guarda come ci è piaciuto Minecraft su Windows 10. Ulteriori informazioni. Permette ai giocatori di utilizzare la versione mobile del famoso voxel-builder 10 Indie City e Base Builders per provare subito! 10 città indie e costruttori di basi per provare adesso! Ci sono una serie di sviluppatori indie che lavorano su una serie di fantastici giochi basati su builder di città e basi. Diamo un'occhiata ad alcuni dei migliori costruttori di basi e città indipendenti che puoi giocare ... Leggi di più per partecipare alle varie modalità multiplayer, come Cattura la bandiera o Sopravvivenza. Gli utenti della scialuppa di salvataggio si connettono a un server della comunità, registrando il nome utente desiderato con un indirizzo email e una password. Roba abbastanza standard.

All'insaputa degli utenti, Lifeboat ha quindi cancellato le password con l'algoritmo MD5, ormai scarsamente debole, il che significa che le password sarebbero state facili da decifrare utilizzando strumenti di base (e facilmente disponibili).

Dopo la perdita

Quando un'azienda subisce una violazione dei dati che coinvolge i dati personali dei propri utenti, la linea comune dell'azione è quella di informarli. Perché le aziende che violano il segreto potrebbero essere una buona cosa Perché le aziende che violano il segreto potrebbero essere una buona cosa Con così tante informazioni online, siamo tutti preoccupati per potenziali violazioni della sicurezza. Ma queste violazioni potrebbero essere tenute segrete negli Stati Uniti per proteggerti. Sembra pazzesco, quindi cosa sta succedendo? Leggi di più . Sfortunatamente gli utenti sanno che il loro indirizzo e-mail privato e la password del loro account sono stati purtroppo acquisiti da un'entità potenzialmente malintenzionata. Sembra abbastanza ragionevole.

La scialuppa di salvataggio ha trascurato di svolgere questo compito apparentemente fondamentale, decidendo invece che poiché i dati violati non contenevano informazioni finanziarie, sarebbe probabilmente sufficiente l'attivazione di una reimpostazione della password in tutto il sito. Anche in questo caso, la storia dei difetti di sicurezza continua, con Lifeboat che consiglia ai propri utenti di creare password brevi - letteralmente l'opposto della pratica di generazione di password ampiamente accettata 7 Errori di password che ti faranno probabilmente incastrare 7 Errori di password che ti faranno probabilmente hackerare Le peggiori password di Il 2015 è stato rilasciato e sono abbastanza preoccupanti. Ma mostrano che è assolutamente fondamentale rafforzare le tue password deboli, con poche semplici modifiche. Leggi di più .

“A proposito, raccomandiamo password brevi, ma difficili da indovinare. Questo non è il banking online.”

Tuttavia, nonostante le rivendicazioni di Lifeboat di una reimpostazione della password a livello di sito, molti utenti contattati in relazione alla violazione hanno risposto negativamente, dicendo che non hanno ricevuto alcuna email di ripristino, o una notifica quando si entra nel gioco o si connettono a un server di Lifeboat.

“È brutto che siano stati violati in primo luogo, ma non parlarne è ancora peggio”

Cosa è andato storto?

La violazione dei dati sulla scialuppa di salvataggio si legge come un elenco di cosa non fare in caso di emergenza. La violazione stessa è stata immediatamente inserita nella # 7 nella Sono stato pwned top 10.

Sono i difetti sistematici che hanno attirato tanta attenzione. Non solo l'indirizzo e-mail e le password sono stati violati, ma gli utenti sono stati attivamente incoraggiati ad indebolire la propria possibilità di garantire la sicurezza dei dati personali con una raccomandazione di password sconsigliata. Quindi per completare il tutto, Lifeboat aveva cancellato le password usando un metodo di crittografia facilmente infrangibile.

MD5

Se Lifeboat aveva scelto il consiglio opposto - utilizzare password più lunghe con una combinazione di lettere, numeri e simboli - i dati sarebbero stati molto meno attraenti per quei commercianti di dati. Considera questo: una password contenente sei caratteri alfanumerici è limitata a solo 626 (26 lettere minuscole, 26 lettere maiuscole, numeri 0-9). Anche utilizzando strumenti online di base, i ricercatori di sicurezza o le parti malintenzionate avranno la password incrinata in settimane. Strumenti offline, usando un potente computer, sarà incrinato secondi.

Ad aggravare il terribile consiglio della password c'era il loro scarso servizio di sicurezza. La scialuppa di salvataggio ha optato per hash MD5 non salati per oscurare le password in chiaro. Pur offrendo un livello base di protezione, MD5 è stato progettato per offrire una crittografia estremamente veloce e basata sulle risorse. Come funziona la crittografia ed è davvero sicura? Come funziona la crittografia, ed è davvero sicura? Leggi di più . Alla sua genesi, queste qualità hanno reso MD5 uno strumento molto utile. La maggior parte dei computer al dettaglio semplicemente non aveva abbastanza potere per decifrare la crittografia.

Tuttavia, i tempi cambiano ei nostri computer domestici sono di gran lunga superiori a quelli sviluppati solo un decennio fa, minando drasticamente l'efficacia di qualsiasi hash con MD5.

Passwords non salate

E proprio per massaggiare la ferita, Lifeboat fece un ultimo errore. Gli hash MD5 che proteggono le password non erano salati Cosa significa tutto questo MD5 Hash Stuff significa [Spiegazione della tecnologia] Cosa significa tutto questo MD5 Hash Stuff In realtà [Spiegazione della tecnologia] Ecco un completo downdown di MD5, hashing e una piccola panoramica dei computer e della crittografia . Leggi di più . Ciò significa che le password in chiaro non sono state combinate con un valore univoco per ciascun account utente, rendendo il processo di cracking e corrispondenza molto più semplice.

Salting fondamentalmente garantisce che ogni singola password hash sia del tutto unica, anche se contiene caratteri identici. Chiunque desideri visualizzare le password dovrebbe craccare ogni hash individualmente.

Sicuro di tornare?

La scialuppa di salvataggio non ha rilasciato troppe dichiarazioni relative alla violazione. La loro posizione, credo, rimane che mentre la violazione dei dati è riprovevole, in quanto non contengono informazioni personali aggiuntive o informazioni finanziarie, il danno dovrebbe essere relativamente limitato. La scialuppa di salvataggio ha anche confermato che MD5 non è più in uso sul sito o su uno dei suoi server.

“Quando questo è accaduto all'inizio di gennaio, abbiamo pensato che la cosa migliore per i nostri giocatori fosse forzare silenziosamente la reimpostazione della password senza che gli hacker sapessero che avevano un tempo limitato per agire. Lo abbiamo fatto per un periodo di alcune settimane.”

Anche se il danno diretto è limitato, potrebbero esserci altre conseguenze. Le persone sono generalmente pigre quando si tratta di password, usando solo una manciata per proteggere tutti i loro account online.

"Letteralmente tutte le mie password, i social media, i server Pe, le email ecc. Erano queste password, devo modificarle tutte?" https://t.co/f2sh4Lz20f

- Troy Hunt (@troyhunt), 28 aprile 2016

Mentre il rischio di una singola violazione che espone un numero di account è ingrandito, la lezione dovrebbe essere chiara: se ti interessa davvero la santità dei tuoi account, dei tuoi dati personali e personali e altro, usa una password forte e unica per ognuno. Quindi, quando un servizio viene violato, non diventerai una statistica.

A proposito, utenti di Lifeboat: è tempo di cambiare tutto tuo Le password.

Sei stato colpito dalla scialuppa di scialuppa di salvataggio? Ti fiderai ancora di Lifeboat? Come tieni traccia delle tue password? Facci sapere di seguito!

Scopri di più su: Minecraft, sicurezza online, password, violazione della sicurezza.