Brian Curtis
0 
2722
632
Toto je krátký příběh bloků, zlomené důvěry, ohrožených účtů, skrytí a jeden z nejpopulárnějších komunitních stránek Minecraftu. Účty více než 7 milionů členů Záchranný člun byly kompromitovány dříve v roce a data byla údajně prodána těm, kdo nabídli nejvyšší nabídku na Temné síti.
7 milionů uživatelů!
Obrovské porušení bylo objeveno v lednu. Držte krok s nejnovějšími úniky dat - postupujte podle těchto 5 služeb a kanálů Držte krok s nejnovějšími úniky dat - postupujte podle těchto 5 služeb a zdrojů od Troy Hunt, výzkumného pracovníka v oblasti bezpečnosti Byl jsem pwned? web pro oznámení porušení. Dostal tip na data od někoho, kdo se aktivně zapojil do obchodu s hacknutými přihlašovacími údaji, a v minulosti obdržel další údaje od jednotlivce..
“Údaje mi poskytl někdo aktivně zapojený do obchodování, který mi v minulosti zaslal další data”
Jeho objev odhalil nedostatečnou bezpečnost na místě záchranných člunů a stejně tak neúměrný sled událostí, které následovaly po porušení.
Nové porušení: V lednu měla komunita Minecraft „Záchranný člun“ odhaleno 7 milionů účtů. 6% již bylo na @haveibeenpwned https://t.co/LGaAniJH32
- Byl jsem pwned? (@haveibeenpwned) 26. dubna 2016
Lifeboat provozuje servery pro vlastní prostředí Minecraft Pocket Edition Měli byste získat Minecraft Windows 10 Edition? Měli byste získat Minecraft Windows 10 Edition? Pokud jste si Minecraft zakoupili v minulosti, můžete získat vydání systému Windows 10 zdarma. V opačném případě můžete použít bezplatnou zkušební dobu 90 minut. Mezitím se podívejte, jak se nám Minecraft líbil ve Windows 10. Umožňuje hráčům používajícím mobilní verzi mimořádně populárního výrobce voxel-builderů 10 nezávislých měst a stavitelů základů, aby to hned vyzkoušeli! 10 nezávislých tvůrců měst a základen vyzkoušet právě teď! Existuje celá řada nezávislých vývojářů pracujících na řadě úžasných her ve stylu města a stavitele. Pojďme se podívat na některé z nejlepších nezávislých stavitelů základen a měst, které můžete hrát ... účastnit se různých režimů pro více hráčů, jako je Capture the Flag nebo Survival. Uživatelé záchranných člunů se připojují k komunitnímu serveru a registrují své požadované uživatelské jméno pomocí e-mailové adresy a hesla. Docela standardní věci.
Unbeknownst k uživatelům, Lifeboat pak hashed hesla pomocí nyní neslavně slabý algoritmus MD5, což znamená, že hesla by bylo snadné crack pomocí základních (a snadno dostupné) nástroje.
Po úniku
Když společnost zažije narušení dat, které se týká osobních údajů jejích uživatelů, je běžným postupem informování o tom, proč by společnosti, které porušují tajemství, mohly být dobrou věcí, proč by firmy, které by mohly porušovat tajemství, mohly být dobrou věcí, s tolika informacemi online, všichni se obáváme možného narušení bezpečnosti. Ale tato porušení by mohla být v USA utajena, aby vás ochránila. Zní to šíleně, tak co se děje? . Informování uživatelů o jejich soukromé e-mailové adrese a hesle pro svůj účet bohužel získala potenciálně nebezpečná entita. Vypadá to docela rozumně.
Záchranný člun zanedbával tento zdánlivě základní úkol, místo toho rozhodl, že jelikož porušená data neobsahují žádné finanční informace, bude pravděpodobně stačit spuštění tichého obnovení hesla na celém webu. I poté příběh o bezpečnostních chybách pokračuje a Lifeboat radí svým uživatelům, aby vytvářeli krátká hesla - doslova opak obecně uznávané praxe vytváření hesel. 7 Chybová hesla, která vás pravděpodobně napadnou. 7 Chybová hesla, která vás pravděpodobně napadnou Nejhorší hesla Rok 2015 byl propuštěn a jsou docela znepokojující. Ukazují však, že je naprosto zásadní posílit slabá hesla pomocí několika jednoduchých vylepšení. .
“Mimochodem doporučujeme krátká, ale těžko uhodnutelná hesla. Toto není online bankovnictví.”
I přes požadavky společnosti Lifeboat na obnovení hesla pro celou webovou stránku však mnoho uživatelů kontaktovaných v souvislosti s porušením odpovědělo záporně a uvedlo, že neobdrželi žádný takový resetovací e-mail ani upozornění při vstupu do hry nebo připojení k serveru Lifeboat..
“Je špatné, že byli porušeni především, ale to, že nám o tom neřekneme, je ještě horší”
Co se pokazilo?
Porušení dat záchranného člunu se čte jako seznam toho, co dělat v případě nouze. Samotné porušení se okamžitě umístilo na 7 Byl jsem pwned nejlepších 10.
Takovou pozornost přitahují systematická selhání. E-mailová adresa a hesla byla nejen porušena, ale uživatelé byli aktivně vybízeni k tomu, aby oslabili svou vlastní šanci na zajištění bezpečnosti osobních údajů na základě doporučení ohledně nevhodného hesla. Poté, co to opravdu doplnilo, Lifeboat hashed hesla pomocí snadno zlomitelné šifrovací metody.
MD5
Pokud by záchranný člun zvolil opačnou radu - použijte delší hesla s kombinací písmen, číslic a symbolů - data by byla pro tyto obchodníky s údaji mnohem méně atraktivní. Zvažte toto: heslo obsahující šest alfanumerických znaků je omezeno na pouhých 626 (26 malých písmen, 26 velkých písmen, čísla 0-9). I při použití základních online nástrojů budou bezpečnostní vědci nebo škodlivé strany toto heslo prolomeno za několik týdnů. Offline nástroje, s použitím výkonného počítače, bude to prasklý sekundy.
Složením strašlivé rady ohledně hesla bylo jejich vlastní špatné zabezpečení. Záchranný člun se rozhodl pro nesolted hash MD5 zakrýt hesla prostého textu. MD5 byl navržen tak, aby poskytoval základní úroveň ochrany, a nabízí extrémně rychlé šifrování pomocí zdroje. Jak funguje šifrování a je opravdu bezpečný? Jak funguje šifrování a je opravdu bezpečný? . Díky své kvalitě se MD5 stal velmi užitečným nástrojem. Většina maloobchodních počítačů jednoduše neměla dostatek energie, aby šifrování rozbila.
Časy se však mění a naše domácí počítače jsou výrazně lepší než ty, které byly vyvinuty před deseti lety, což výrazně snižuje účinnost všeho hašovaného pomocí MD5.
Nespojená hesla
A jen aby si do rány namnul sůl, Lifeboat udělal poslední chybu. MDS hashe chránící hesla byla nespoutaná Co to všechno MD5 hash věci vlastně znamená [technologie vysvětlil] Co všechno to MD5 hash věci vlastně znamená [technologie vysvětlil] Zde je kompletní run-down MD5, hashování a malý přehled počítačů a kryptografie . . To znamená, že hesla prostého textu nebyla kombinována s jedinečnou hodnotou pro každý uživatelský účet, což proces praskání a porovnávání mnohem usnadnilo..
Solení v zásadě zajišťuje, že každé jednotlivě hashované heslo je zcela jedinečné, i když obsahují stejné znaky. Každý, kdo si přeje zobrazit hesla, by musel hash každý hash samostatně.
Bezpečné vrátit?
Záchranný člun nevydal příliš mnoho prohlášení týkajících se porušení. Domnívám se, že jejich postoj zůstává, že i když je porušení údajů trestuhodné, protože nemají žádné další osobní údaje ani finanční informace, mělo by být poškození relativně omezené. Záchranný člun také potvrdil, že MD5 se již nepoužívá na místě ani na žádném z jeho serverů.
“Když se to stalo [začátkem] ledna, zjistili jsme, že nejlepší pro naše hráče bylo tiché vynucení hesla, aniž by hackeři věděli, že mají omezený čas jednat. Udělali jsme to po dobu několika týdnů.”
I když je přímá škoda omezená, může dojít k dalšímu spadu. Pokud jde o hesla, lidé jsou obecně líní a chrání všechny své účty online pouze pomocí několika.
"Doslova všechna moje hesla, sociální média, servery Pe, e-mail atd. Bylo toto heslo, musím je změnit všechny?" https://t.co/f2sh4Lz20f
- Troy Hunt (@troyhunt) 28. dubna 2016
I když je riziko, že jedno porušení odhalí několik účtů, zvýšené, lekce by měla být jasná: pokud vám opravdu záleží na posvátnosti vašich účtů, vašich soukromých, osobních údajů a dalších, použijte pro každý z nich silné a jedinečné heslo. Takže když dojde k porušení služby, nestanete se statistikou.
Mimochodem, uživatelé záchranných člunů: je čas na změnu všechny vaše hesla.
Byli jste zasaženi hackem Lifeboat? Budeš věřit Lifeboat znovu? Jak si udržujete přehled o svých heslech? Dejte nám vědět níže!