SEPT MILLIONS de comptes Minecraft piratés
Il s’agit d’un bref récit de blocages, de liens de confiance brisés, de comptes compromis, de dissimulations et de l’un des sites communautaires les plus populaires de Minecraft. Les comptes de plus de 7 millions de membres de Canot de sauvetage ont été compromis plus tôt dans l’année et les données auraient été vendues au plus offrant sur le Dark Net.
7 millions d'utilisateurs!
La brèche massive a été découverte en janvier. Tenez-vous au courant des dernières fuites de données - Suivez ces 5 services et flux Tenez-vous au courant des dernières fuites de données - Suivez ces 5 services et fils En savoir plus par Troy Hunt, chercheur en sécurité derrière le Ai-je été pwned? site de notification de violation. Il a reçu une information concernant les données d'une personne activement engagée dans le commerce des identifiants de connexion piratés, et avait déjà reçu d'autres données de cette personne par le passé..
“Les données m'ont été fournies par une personne activement impliquée dans le commerce qui m'a envoyé d'autres données dans le passé.”
Sa découverte a révélé la sécurité insondable en place à Lifeboat, ainsi que la suite d'événements tout aussi apathiques qui a suivi la violation..
Nouvelle brèche: En janvier, la communauté de Minecraft "Lifeboat" avait ouvert 7 millions de comptes. 6% étaient déjà dans @haveibeenpwned https://t.co/LGaAniJH32
- Ai-je été pwned? (@haveibeenpwned) 26 avril 2016
Lifeboat utilise des serveurs pour les environnements personnalisés Minecraft Pocket Edition. Devriez-vous vous procurer Minecraft Windows 10 Edition? Devriez-vous vous procurer la Minecraft Windows 10 Edition? Si vous avez déjà acheté Minecraft, vous pouvez obtenir gratuitement l’édition Windows 10. Sinon, vous pourriez utiliser un essai gratuit de 90 minutes. En attendant, voyez à quel point nous aimions Minecraft sous Windows 10. Pour en savoir plus. Il permet aux joueurs utilisant la version mobile du très populaire voxel-builder 10 Indie City et Base Builders d’essayer dès maintenant! 10 constructeurs indépendants de villes et de bases à essayer dès maintenant! De nombreux développeurs indépendants travaillent sur une multitude de jeux de ville et de base de style constructeur. Jetons un coup d'œil à certains des meilleurs bâtisseurs de bases et de villes indépendants auxquels vous pouvez jouer… Lisez-en plus pour participer aux différents modes multijoueurs, tels que Capturer le drapeau ou Survivre. Les utilisateurs de Lifeboat se connectent à un serveur de communauté en enregistrant le nom d'utilisateur souhaité avec une adresse email et un mot de passe. Trucs assez standard.
À l'insu des utilisateurs, Lifeboat a ensuite déchiqueté les mots de passe avec l'algorithme désormais infâme du MD5, ce qui signifie qu'il aurait été facile de déchiffrer les mots de passe à l'aide d'outils de base (et facilement disponibles)..
Après la fuite
Lorsqu'une entreprise subit une violation de données impliquant les données personnelles de ses utilisateurs, il est habituel d'informer les entreprises. Pourquoi des entreprises qui gardent une information secrète pourrait être une bonne chose? Pourquoi des entreprises qui gardent une information secrète pourrait être une bonne chose en ligne, nous nous inquiétons tous des failles de sécurité potentielles. Mais ces violations pourraient être tenues secrètes aux États-Unis afin de vous protéger. Cela semble fou, alors qu'est-ce qui se passe? Lire la suite . Informer les utilisateurs de leur adresse électronique privée et du mot de passe de leur compte a malheureusement été acquis par une entité potentiellement malveillante. Cela semble assez raisonnable.
Lifeboat a négligé de s'acquitter de cette tâche apparemment élémentaire, mais a plutôt décidé que, les données violées ne contenant aucune information financière, il serait probablement suffisant de déclencher une réinitialisation silencieuse du mot de passe pour l'ensemble du site. Même à ce moment-là, le problème de sécurité se poursuit, Lifeboat conseillant à ses utilisateurs de créer des mots de passe courts - le contraire de la pratique de génération de mot de passe largement acceptée. 2015 ont été publiés et ils sont assez inquiétants. Mais ils montrent qu’il est absolument essentiel de renforcer vos mots de passe faibles, avec juste quelques ajustements simples. Lire la suite .
“En passant, nous recommandons des mots de passe courts, mais difficiles à deviner. Ce n'est pas une banque en ligne.”
Cependant, malgré les affirmations de Lifeboat concernant une réinitialisation du mot de passe pour l'ensemble du site, de nombreux utilisateurs contactés au sujet de l'infraction ont répondu par la négative, indiquant qu'ils n'avaient reçu aucun e-mail de réinitialisation ni notification lors de l'entrée dans le jeu ou de la connexion à un serveur Lifeboat.
“C'est dommage qu'ils aient été violés au départ, mais ne pas nous dire que c'est pire”
Qu'est ce qui ne s'est pas bien passé?
La violation de données Lifeboat ressemble à une liste de ce qu'il ne faut pas faire en cas d'urgence. La brèche elle-même s'est immédiatement placée au 7e rang du classement Ai-je été pwned Top 10.
Ce sont les défaillances systématiques qui ont attiré une telle attention. Non seulement l'adresse électronique et les mots de passe ont été violés, mais les utilisateurs ont également été fortement encouragés à affaiblir leurs propres chances d'assurer la sécurité des données à caractère personnel par une recommandation de mot de passe mal avisée. Pour couronner le tout, Lifeboat a haché les mots de passe en utilisant une méthode de cryptage facilement cassable..
MD5
Si Lifeboat avait choisi le conseil opposé - utilisez des mots de passe plus longs comportant une combinaison de lettres, de chiffres et de symboles - les données auraient été beaucoup moins attrayantes pour ces traders. Considérez ceci: un mot de passe contenant six caractères alphanumériques est limité à 62 caractères.6 (26 minuscules, 26 majuscules, nombres 0-9). Même en utilisant des outils en ligne de base, les chercheurs en sécurité ou des parties malveillantes verront leur mot de passe déchiffré dans des semaines. Outils hors ligne, utilisant un ordinateur puissant, ça va être craqué secondes.
Le terrible conseil en matière de mot de passe était compliqué par leur propre système de sécurité médiocre. Lifeboat a opté pour des hachages MD5 non salés pour masquer les mots de passe en texte clair. Tout en offrant un niveau de protection de base, MD5 a été conçu pour offrir un cryptage extrêmement rapide, avec peu de ressources. Comment le cryptage fonctionne-t-il et est-il vraiment sans danger? Comment fonctionne le cryptage et est-il vraiment sûr? Lire la suite . A l'origine, ces qualités ont fait du MD5 un outil très pratique. La plupart des ordinateurs de vente au détail n'avaient tout simplement pas assez de puissance pour déchiffrer le chiffrement.
Cependant, les temps changent et nos ordinateurs domestiques sont nettement supérieurs à ceux développés il y a dix ans à peine, ce qui nuit considérablement à l'efficacité de tout ce qui a été haché avec MD5..
Mots de passe non salés
Et juste pour frotter la plaie, Lifeboat a fait une dernière erreur. Les hachages MD5 protégeant les mots de passe n'étaient pas salés. Qu'est-ce que tout ce truc du hachage MD5 signifie en réalité [la technologie expliquée] que signifie tout ce que le hachage de ce MD5 signifie en réalité [la technologie expliquée] . Lire la suite . Cela signifie que les mots de passe en clair ne sont pas combinés avec une valeur unique pour chaque compte d'utilisateur, ce qui simplifie grandement le processus de craquage et de mise en correspondance.
Le salage garantit fondamentalement que chaque mot de passe haché individuellement est entièrement unique, même s'ils contiennent des caractères identiques. Toute personne souhaitant voir les mots de passe devra craquer chaque hachage individuellement.
Safe to Return?
Les bateaux de sauvetage n'ont pas publié trop de déclarations concernant la brèche. Je crois que leur position reste la suivante: même si la violation de données est répréhensible, étant donné qu’ils ne détiennent aucune information personnelle ou financière supplémentaire, les dommages devraient être relativement limités. Lifeboat a également confirmé que MD5 n'est plus utilisé sur le site ni sur aucun de ses serveurs.
“Lorsque cela s'est produit début janvier, nous avons pensé que la meilleure chose à faire pour nos joueurs était de forcer discrètement une réinitialisation de mot de passe sans que les pirates informatiques sachent qu'ils disposaient de peu de temps pour agir. Nous l'avons fait pendant quelques semaines.”
Même si les dommages directs sont limités, il pourrait y avoir d'autres conséquences. Les gens sont généralement paresseux quand il s'agit de mots de passe, n'utilisant qu'une poignée pour protéger tous leurs comptes en ligne.
"Tous mes mots de passe, médias sociaux, serveurs Pe, e-mails, etc. étaient ce mot de passe. Dois-je tous les changer?" https://t.co/f2sh4Lz20f
- Troy Hunt (@troyhunt) 28 avril 2016
Bien que le risque qu'une seule infraction expose plusieurs comptes soit amplifié, la leçon à tirer est claire: si vous tenez vraiment au caractère sacré de vos comptes, de vos données personnelles et personnelles, utilisez un mot de passe fort et unique pour chacun. Ainsi, lorsqu'un service est violé, vous ne devenez pas une statistique.
Au fait, utilisateurs de canots de sauvetage: il est temps de changer Tous vos mots de passe.
Avez-vous été touché par le piratage Lifeboat? Ferez-vous de nouveau confiance à Lifeboat? Comment gardez-vous une trace de vos mots de passe? Faites-nous savoir ci-dessous!
Explorer plus sur: Minecraft, Online Security, Password, Security Breach.