ZEVEN MILJOEN Minecraft-accounts gehackt
Dit is een kort verhaal over blokkades, gebroken vertrouwen, gecompromitteerde accounts, doofpotzaken en een van de populairste Minecraft-communitywebsites. De accounts van meer dan 7 miljoen leden van Reddingsboot werden eerder dit jaar gecompromitteerd en de gegevens zijn naar verluidt verkocht aan de hoogste bieders op het Dark Net.
7 miljoen gebruikers!
De massale breuk werd ontdekt in januari Blijf op de hoogte van de nieuwste datalekken - volg deze 5 Services & Feeds Blijf op de hoogte van de nieuwste datalekken - volg deze 5 Services & Feeds Lees meer door Troy Hunt, de beveiligingsonderzoeker achter de Ben ik een pionier? website voor meldingen over inbreuken. Hij ontving een tip over de gegevens van iemand die actief betrokken is bij het verhandelen van gehackte inloggegevens en heeft in het verleden andere gegevens van de persoon ontvangen.
“De gegevens zijn aan mij verstrekt door iemand die actief betrokken is bij de handel en die me in het verleden andere gegevens heeft gestuurd”
Zijn ontdekking bracht de lackadaisical veiligheid op zijn plaats bij Lifeboat, en de even lackadaisical opeenvolging van gebeurtenissen die de breuk volgden.
Nieuwe overtreding: in januari had de Minecraft-gemeenschap "Reddingsboot" 7M-accounts laten zien. 6% was al in @haveibeenpwned https://t.co/LGaAniJH32
- Ben ik een pionier? (@haveibeenpwned) 26 april 2016
Lifeboat draait servers voor aangepaste Minecraft Pocket Edition-omgevingen Moet u de Minecraft Windows 10 Edition kopen? Moet u de Minecraft Windows 10 Edition aanschaffen? Als je in het verleden Minecraft hebt gekocht, kun je de Windows 10-editie gratis krijgen. Anders zou je een gratis proefperiode van 90 minuten kunnen gebruiken. Kijk ondertussen hoe we Minecraft op Windows 10 leuk vonden. Lees meer. Hiermee kunnen spelers die de mobiele versie van de extreem populaire voxel-builder 10 Indie City en basisbouwers gebruiken nu proberen! 10 Indie-steden en basisbouwers om het nu te proberen! Er zijn een aantal indie-ontwikkelaars die werken aan een groot aantal geweldige games voor stad en basisbouwers. Laten we een paar van de beste onafhankelijke basis- en stadbouwers bekijken die je kunt spelen ... Lees meer om deel te nemen aan de verschillende multiplayer-modi, zoals Capture the Flag of Survival. Reddingsbootgebruikers maken verbinding met een communityserver door hun gewenste gebruikersnaam te registreren met een e-mailadres en wachtwoord. Mooie standaard dingen.
Buiten het medeweten van de gebruikers hashde Lifeboat de wachtwoorden met het nu beruchte zwakke MD5-algoritme, wat betekent dat de wachtwoorden eenvoudig te kraken zouden zijn met behulp van eenvoudige (en gemakkelijk beschikbare) hulpmiddelen.
Het lek volgen
Wanneer een bedrijf een gegevensinbreuk ervaart met betrekking tot de persoonlijke gegevens van zijn gebruikers, is de gemeenschappelijke handelwijze om hen te informeren waarom bedrijven die een geheim overtreden een goed ding zouden kunnen zijn Waarom bedrijven die een geheim overtreden kunnen een goed ding zijn met zoveel informatie online maken we ons allemaal zorgen over mogelijke beveiligingsinbreuken. Maar deze overtredingen kunnen geheim worden gehouden in de VS om u te beschermen. Het klinkt gek, dus wat is er aan de hand? Lees verder . De gebruikers laten weten dat hun privé e-mailadres en wachtwoord voor hun account helaas is verkregen door een mogelijk kwaadwillende entiteit. Het lijkt redelijk.
Reddingsboot verwaarloosd om deze ogenschijnlijk eenvoudige taak te doen, maar in plaats daarvan te beslissen dat de geschonden gegevens geen financiële informatie bevatten, zou het activeren van een stille locatie-brede wachtwoordreset waarschijnlijk voldoende zijn. Zelfs dan gaat het beveiligingslekverhaal verder, waarbij Lifeboat zijn gebruikers adviseert om korte wachtwoorden te maken - letterlijk het tegenovergestelde van algemeen aanvaarde wachtwoordgeneratiepraktijken. 7 wachtwoordfouten die je waarschijnlijk kunnen hacken 7 wachtwoordfouten die je waarschijnlijk kunnen hacken De slechtste wachtwoorden van 2015 zijn vrijgegeven en ze zijn behoorlijk verontrustend. Maar ze laten zien dat het absoluut noodzakelijk is om je zwakke wachtwoorden te versterken, met slechts een paar eenvoudige aanpassingen. Lees verder .
“Overigens bevelen we korte, maar moeilijk te raden wachtwoorden aan. Dit is geen online bankieren.”
Ondanks de beweringen van Lifeboat over een wachtwoordwijziging voor de hele site, reageerden veel gecontacteerde gebruikers met betrekking tot de schending negatief, met de mededeling dat ze geen dergelijke reset-e-mail of een melding ontvingen bij het betreden van het spel of verbinding maken met een Lifeboat-server.
“Het is erg dat ze in de eerste plaats werden geschonden, maar ons daar niet over vertellen is nog erger”
Wat ging er mis?
De databreak van de Lifeboat leest als een lijst van wat niet te doen is in geval van nood. De bres zelf is meteen geplaatst op # 7 in de Ben ik een pionier top 10.
Het zijn de systematische tekortkomingen die zoveel aandacht hebben getrokken. Niet alleen werden het e-mailadres en de wachtwoorden overtreden, maar gebruikers werden ook actief aangemoedigd om hun eigen kans te verzwakken om de beveiliging van persoonlijke gegevens te garanderen door een verkeerd advies over het wachtwoord. Om het echt helemaal goed te maken, had Lifeboat de wachtwoorden gehashed met behulp van een gemakkelijk verbreekbare encryptiemethode.
MD5
Als Lifeboat het tegenovergestelde advies had gekozen - langere wachtwoorden gebruiken met een combinatie van letters, cijfers en symbolen - zouden de gegevens veel minder aantrekkelijk zijn geweest voor die gegevenshandelaren. Houd dit in gedachten: een wachtwoord met zes alfanumerieke tekens is beperkt tot slechts 626 (26 kleine letters, 26 hoofdletters, cijfers 0-9). Zelfs met behulp van eenvoudige online tools, beveiligingsonderzoekers of kwaadwillende partijen zal dat wachtwoord in weken worden gekraakt. Offline tools, met behulp van een krachtige computer, het zal worden ingebroken seconden.
De vreselijke wachtwoordadviezen bevatten was hun eigen gebrekkige beveiligingshuishouding. Reddingsboot koos voor ongezouten MD5-hashes om de leesbare wachtwoorden te verbergen. Hoewel MD5 een basisniveau van bescherming bood, was het ontworpen om extreem snelle codering van hulpbronnen te bieden. Hoe werkt encryptie en is het echt veilig? Hoe werkt versleuteling en is het echt veilig? Lees verder . Bij zijn ontstaan maakte deze kwaliteiten MD5 een redelijk handig hulpmiddel. De meeste retailcomputers beschikten eenvoudigweg niet over voldoende vermogen om de codering te kraken.
De tijden veranderen echter en onze thuiscomputers zijn enorm superieur aan die van een decennium geleden, waardoor de effectiviteit van hashed met MD5 drastisch werd ondermijnd.
Ongezuurde wachtwoorden
En om de zoutwond in de wond te wrijven, maakte Lifeboat een laatste blunder. De MD5-hashes die de wachtwoorden beschermen, waren ongezouten. Wat deze MD5 hash-stuff eigenlijk betekent [technologie verklaard] Wat al deze MD5 hash-spullen eigenlijk betekenen [technologie verklaard] Hier is een volledige run van MD5, hashing en een klein overzicht van computers en cryptografie . Lees verder . Dit betekent dat de platte-tekstwachtwoorden niet werden gecombineerd met een unieke waarde voor elk gebruikersaccount, waardoor het kraken en matchen van processen veel eenvoudiger werd.
Het zouten zorgt er feitelijk voor dat elk individueel gehasht wachtwoord volledig uniek is, zelfs als ze identieke karakters bevatten. Iedereen die de wachtwoorden wil bekijken, zou elke hash afzonderlijk moeten kraken.
Veilig om terug te keren?
Reddingsboot heeft niet te veel verklaringen afgegeven met betrekking tot de overtreding. Hun standpunt is naar mijn mening nog steeds dat, hoewel de datalekel verwerpelijk is, omdat ze geen aanvullende persoonlijke informatie of financiële informatie bevatten, de schade relatief beperkt moet zijn. Reddingsboot heeft ook bevestigd dat MD5 niet langer in gebruik is op de site of op een van zijn servers.
“Toen dit begin januari gebeurde, dachten we dat het voor onze spelers het beste was om een wachtwoordreset stilletjes te forceren zonder de hackers te laten weten dat ze weinig tijd hadden om te handelen. We deden dit gedurende een periode van enkele weken.”
Zelfs als de directe schade beperkt is, kan er sprake zijn van een andere neerslag. Mensen zijn over het algemeen lui als het gaat om wachtwoorden, met slechts een handvol om al hun online accounts te beschermen.
"Letterlijk al mijn wachtwoorden, sociale media, Pe-servers, e-mail enz. Waren dit wachtwoord, moet ik ze allemaal wijzigen?" https://t.co/f2sh4Lz20f
- Troy Hunt (@troyhunt) 28 april 2016
Hoewel het risico dat één enkele breuk een aantal accounts blootlegt vergroot wordt, moet de les duidelijk zijn: als je echt om de onschendbaarheid van je accounts, je persoonlijke gegevens en meer geeft, gebruik dan een sterk, uniek wachtwoord voor elk account. Dus wanneer een service wordt geschonden, wordt u geen statistiek.
Trouwens, gebruikers van een Reddingsboot: het is tijd om te veranderen al je wachtwoorden.
Ben je getroffen door de Reddingsboot-hack? Vertrouw je Lifeboat nog een keer? Hoe houdt u uw wachtwoorden bij? Laat het ons hieronder weten!
Ontdek meer over: Minecraft, online beveiliging, wachtwoord, inbreuk op de beveiliging.