Содержание
Это короткий рассказ о блоках, нарушенном доверии, скомпрометированных аккаунтах, сокрытиях и одном из самых популярных сайтов сообщества Minecraft. Счета более 7 миллионов членов Lifeboat были скомпрометированы ранее в этом году, и данные, как сообщается, были проданы самым продавцам в Dark Net.
7 миллионов пользователей!
Массивное нарушение было обнаружено в январе
Трой Хант, исследователь безопасности за «Я был избит»? нарушение сайта уведомления. Он получил информацию о данных от кого-то, кто активно занимается торговлей взломанными учетными данными, и получил другие данные от этого лица в прошлом.
«Данные были предоставлены мне кем-то, кто активно участвовал в торговле, и который отправлял мне другие данные в прошлом»
Его открытие обнажило недостаток безопасности на месте на спасательной шлюпке и столь же неадекватную последовательность событий, последовавших за нарушением.
Новое нарушение: в январе сообщество Minecraft «Спасательная шлюпка» раскрыло 7M аккаунтов. 6% уже были в @haveibeenpwned https://t.co/LGaAniJH32
— Я был pwned? (@haveibeenpwned) 26 апреля 2016 г.
Спасательная шлюпка запускает серверы для пользовательских сред Minecraft Pocket Edition
, Это позволяет игрокам использовать мобильную версию чрезвычайно популярного вокселя-строителя.
участвовать в различных многопользовательских режимах, таких как захват флага или выживание. Пользователи спасательной шлюпки подключаются к серверу сообщества, регистрируя желаемое имя пользователя с помощью адреса электронной почты и пароля. Довольно стандартные вещи.
Затем, не подозревая пользователей, Lifeboat хэшировал пароли с помощью ныне печально известного слабого алгоритма MD5, а это значит, что пароли было бы легко взломать с помощью основных (и легко доступных) инструментов.
После утечки
Когда компания испытывает нарушение данных, связанное с личными данными своих пользователей, общий порядок действий состоит в том, чтобы информировать их
, Уведомление пользователей об их личном адресе электронной почты и пароле для их учетной записи, к сожалению, было получено потенциально злонамеренным лицом. Это кажется вполне разумным.
Спасательная шлюпка не выполнила эту, казалось бы, основную задачу, вместо этого решив, что, поскольку поврежденные данные не содержат финансовой информации, вероятно, будет достаточно инициировать тихий сброс пароля для всего сайта. Даже тогда история безопасности продолжается: Lifeboat советует своим пользователям создавать короткие пароли — буквально противоположность широко распространенной практике генерации паролей.
,
«Кстати, мы рекомендуем короткие, но трудно угадываемые пароли. Это не онлайн-банкинг ».
Однако, несмотря на заявления Lifeboat о сбросе пароля для всего сайта, многие пользователи, с которыми связались в связи с нарушением, отреагировали отрицательно, заявив, что они не получали такого сообщения об изменении или уведомлении при входе в игру или подключении к серверу Lifeboat.
«Плохо, что их в первую очередь взломали, но еще хуже не сказать нам об этом»
Что пошло не так?
Нарушение данных Lifeboat читается как список того, что не следует делать в случае чрезвычайной ситуации. Само нарушение было немедленно помещено на # 7 в первой десятке.
Именно систематические недостатки привлекают такое внимание. Были нарушены не только адрес электронной почты и пароли, но и пользователи активно поощряли ослаблять свои шансы на обеспечение безопасности личных данных из-за необдуманной рекомендации по паролю. Затем, чтобы завершить его, Lifeboat хэшировал пароли, используя легко взломанный метод шифрования.
MD5
Если бы Lifeboat выбрал противоположный совет — используйте более длинные пароли, содержащие комбинацию букв, цифр и символов — данные были бы гораздо менее привлекательными для этих трейдеров. Примите во внимание следующее: пароль, содержащий шесть буквенно-цифровых символов, ограничен 626 (26 строчными, 26 прописными, цифры 0-9). Даже используя базовые онлайн-инструменты, исследователи безопасности или злоумышленники взломают этот пароль за несколько недель. Автономные инструменты, использующие мощный компьютер, будут взломаны секунд.
Ужасные советы по паролю усугублялись их собственной плохой охраной. Спасательная шлюпка выбрала несоленые хеши MD5, чтобы скрыть незашифрованные пароли. Предлагая базовый уровень защиты, MD5 был разработан для обеспечения чрезвычайно быстрого и легкого шифрования
, По своему происхождению эти качества сделали MD5 довольно удобным инструментом. У большинства розничных компьютеров просто не было достаточно мощности, чтобы взломать шифрование.
Однако времена меняются, и наши домашние компьютеры значительно превосходят те, которые были разработаны всего десять лет назад, что резко подрывает эффективность всего, что хэшируется с использованием MD5.
Несоленые пароли
И только чтобы натереть соль в ране, спасательная шлюпка совершила последнюю ошибку. Хеши MD5, защищающие пароли, были несолеными
, Это означает, что незашифрованные пароли не были объединены с уникальным значением для каждой учетной записи пользователя, что значительно упростило процесс взлома и сопоставления.
Соление в основном гарантирует, что каждый индивидуально хешированный пароль является полностью уникальным, даже если они содержат идентичные символы. Любой желающий просмотреть пароли должен будет взломать каждый хеш индивидуально.
Безопасно вернуться?
Спасательная шлюпка не сделала слишком много заявлений относительно нарушения. Я полагаю, что их позиция по-прежнему заключается в том, что, хотя нарушение данных является предосудительным, поскольку они не содержат никакой дополнительной личной информации или финансовой информации, ущерб должен быть относительно ограниченным. Спасательная шлюпка также подтвердила, что MD5 больше не используется ни на сайте, ни на каком-либо из его серверов.
«Когда это произошло [в] начале января, мы решили, что для наших игроков лучше всего будет спокойно принудительно сбросить пароль, не давая хакерам понять, что у них было ограниченное время для действий. Мы делали это в течение нескольких недель ».
Даже если прямой ущерб ограничен, возможны и другие последствия. Люди обычно ленивы, когда дело доходит до паролей, используя только несколько из них для защиты всех своих учетных записей в Интернете.
«Буквально все мои пароли, социальные сети, серверы Pe, электронная почта и т. Д. Были этим паролем, я должен изменить их все?» https://t.co/f2sh4Lz20f
— Трой Хант (@troyhunt) 28 апреля 2016 г.
В то время как риск единственного нарушения, раскрывающего несколько учетных записей, увеличивается, урок должен быть ясен: если вы действительно заботитесь о неприкосновенности ваших учетных записей, ваших личных, личных данных и т. Д., Используйте надежный уникальный пароль для каждой из них. Поэтому, когда сервис нарушен, вы не станете статистикой.
Кстати, пользователи Lifeboat: пора менять все ваши пароли.
Вы были затронуты взломом Lifeboat? Будете ли вы снова доверять спасательной шлюпке? Как вы отслеживаете свои пароли? Дайте нам знать ниже!
