Sept millions de comptes minecraft piraté
Ceci est un court récit de blocs, la confiance brisée, les comptes compromis, dissimulations, et l`un des sites communautaires Minecraft les plus populaires. Les comptes de plus de 7 millions de membres Canot de sauvetage
Contenu
7 millions d`utilisateurs!
le violation massive a été découvert en Janvier par Troy Hunt, le chercheur en sécurité derrière le Ai-je pwned? violation site de notification. Il a reçu un pourboire au large concernant les données de quelqu`un activement engagé dans le commerce des informations de connexion piraté, et avait reçu d`autres données de l`individu dans le passé.Tenez-vous avec les dernières fuites de données - Suivez ces 5 services & FeedsTenez-vous avec les dernières fuites de données - Suivez ces 5 services & FeedsLire la suite
« Les données m`a été fournie par une personne impliquée activement dans le commerce qui m`a envoyé d`autres données dans le passé »
Sa découverte a exposé la sécurité nonchalante en place au canot de sauvetage, et la séquence tout aussi nonchalante des événements qui ont suivi la violation.
Lifeboat exécute des serveurs pour Minecraft sur mesure environnements Pocket Edition. Il permet aux joueurs utilisant la version mobile du extrêmement populaire voxel-constructeur de participer aux différents modes multijoueurs, tels que la capture du drapeau ou de survie. Les utilisateurs de bateaux de sauvetage se connecter à un serveur communautaire, l`enregistrement de leur nom d`utilisateur souhaité avec une adresse e-mail et mot de passe. des choses assez standard.Si vous obtenez le Minecraft de Windows 10 Édition?Si vous obtenez le Minecraft de Windows 10 Édition?Si vous avez acheté Minecraft dans le passé, vous pouvez obtenir l`édition de Windows 10 gratuitement. Dans le cas contraire, vous pouvez utiliser un essai gratuit de 90 minutes. Pendant ce temps, voir comment nous avons aimé Minecraft sur Windows 10.Lire la suite
À l`insu des utilisateurs, embarcation de sauvetage avec les mots de passe haché l`algorithme MD5 maintenant tristement célèbre faible, ce qui signifie les mots de passe auraient été facile à craquer à l`aide des outils de base (et facilement disponibles).
Suite à la fuite
Lorsqu`une entreprise connaît une violation de données concernant les données personnelles de ses utilisateurs, le ligne de conduite commune est de les informer. Laisser les utilisateurs connaissent leur adresse e-mail privée et mot de passe pour leur compte a malheureusement été acquis par une entité potentiellement malveillant. Il semble tout à fait raisonnable.Pourquoi les entreprises Garder un secret pourrait Violations être une bonne chosePourquoi les entreprises Garder un secret pourrait Violations être une bonne choseAvec autant d`informations en ligne, nous inquiétons tous de failles de sécurité potentielles. Mais ces violations pourraient être gardées secrètes aux Etats-Unis afin de vous protéger. Cela semble fou, donc ce qui se passe?Lire la suite
Canot de sauvetage a négligé de faire cette tâche apparemment de base, décidant plutôt que les données ne contenaient aucune information eu manquement à financière, ce qui déclenche un site à l`échelle réinitialisation de mot silencieux serait probablement suffisant. Même alors, l`histoire de faille de sécurité continue, avec Lifeboat conseiller leurs utilisateurs de créer des mots de passe courts - littéralement à l`opposé de largement accepté le mot de passe de génération pratique.
« Par ailleurs, nous vous recommandons de court, mais il est difficile de deviner les mots de passe. Ce n`est pas la banque en ligne « .
Video: minecraft serv
Cependant, en dépit des affirmations de bateaux de sauvetage d`un nouveau mot de passe l`ensemble du site, de nombreux utilisateurs contactés par rapport à la violation ont répondu négativement, en disant qu`ils ne reçoivent pas un tel courriel remis à zéro, ou une notification lors de l`entrée du jeu ou la connexion à un serveur Lifeboat.
« Il est dommage qu`ils ont été violés en premier lieu, mais pas nous dire à ce sujet est encore pire »
Qu`est ce qui ne s`est pas bien passé?
La violation de données Lifeboat se lit comme une liste de choses à ne pas faire en cas d`urgence. La violation elle-même a immédiatement mis à # 7 dans la Est-ce que je pwned Top 10.
Video: THE HIDDEN TREASURE!! | Minecraft Pirate Story
Ce sont les défaillances systématiques qui ont attiré une telle attention. Non seulement l`adresse e-mail et mots de passe manqué, mais les utilisateurs ont été encouragés activement à affaiblir leur propre chance de garantir la sécurité des données personnelles par une recommandation de mot de passe malavisée. Et pour couronner vraiment tout, Lifeboat avait les mots de passe en utilisant hashed une méthode de cryptage facilement cassable.
MD5
Si Lifeboat avait choisi le conseil opposé - utiliser des mots de passe plus longs présentant une combinaison de lettres, chiffres et symboles - les données auraient été beaucoup moins attrayant pour les commerçants de données. Considérez ceci: un mot de passe contenant six caractères alphanumériques est limitée à seulement 626 (26 minuscules, les majuscules 26, numéros 0-9). Même en utilisant des outils en ligne de base, les chercheurs en sécurité ou partis malveillants auront craqué ce mot de passe en quelques semaines. des outils en ligne, en utilisant un ordinateur puissant, il va être craquées dans secondes.
Aggravant le terrible conseil de mot de passe était leur propre ménage de sécurité pauvres. Lifeboat a opté pour MD5 sans sel hash pour obscurcir les mots de passe en clair. Tout en offrant un niveau de protection de base, MD5 a été conçu pour offre extrêmement rapide, le cryptage clair ressources. A sa genèse, ces qualités ont fait MD5 un outil très pratique. La plupart des ordinateurs de détail tout simplement pas assez de puissance pour casser le cryptage.Comment fonctionne le chiffrement, et est-il vraiment en sécurité?Comment fonctionne le chiffrement, et est-il vraiment en sécurité?Lire la suite
Cependant, les temps changent, et nos ordinateurs personnels sont largement supérieurs à ceux développés il y a dix ans, ce qui compromet considérablement l`efficacité de quoi que ce soit à l`aide MD5 haché.
Les mots de passe unsalted
Et juste pour frotter le sel dans la plaie, Lifeboat fait une erreur finale. le hashes md5 protégeant les mots de passe ont été non salé. Cela signifie que les mots de passe ne sont combinés en clair avec une valeur unique pour chaque compte utilisateur, ce qui rend le procédé de craquage et correspondant beaucoup plus facile.Tout cela MD5 Hash Stuff signifie en fait [Technologie Explained]Tout cela MD5 Hash Stuff signifie en fait [Technologie Explained]Voici une course vers le bas plein de MD5, hachant et un petit aperçu des ordinateurs et la cryptographie.Lire la suite
Salage assure essentiellement chaque mot de passe est individuellement hashed tout à fait unique, même si elles contiennent des caractères identiques. Toute personne qui souhaite voir les mots de passe devrait se fissurer chaque hachage individuellement.
Coffre-fort à retourner?
Canot de sauvetage n`a pas émis trop de déclarations concernant la violation. Leur position, je crois, reste que si la violation de données est répréhensible, car ils ne détiennent aucune information personnelle ou information financière, le dommage devrait être relativement limitée. Canot de sauvetage a également confirmé que MD5 ne soit plus utilisé sur le site, ou sur l`un de ses serveurs.
« Quand cela est arrivé [en] début Janvier nous avons pensé que la meilleure chose pour nos joueurs était de forcer tranquillement un nouveau mot de passe sans laisser les pirates savent qu`ils ont peu de temps pour agir. Nous l`avons fait sur une période de quelques semaines « .
Même si le dommage direct est limité, il pourrait y avoir d`autres retombées. Les gens sont généralement paresseux quand il s`agit de mots de passe, en utilisant seulement une poignée pour protéger l`ensemble de leurs comptes en ligne.
Bien que le risque d`une seule violation exposant un certain nombre de comptes est magnifié, la leçon doit être claire: si vous tenez vraiment à la sainteté de vos comptes, vos données privées, personnelles et plus, utilisez un fort, un mot de passe unique pour chacun. Alors, quand un service est violé, vous ne deviendrez pas une statistique.
D`ailleurs, les utilisateurs de bateaux de sauvetage: il est temps de changer tous vos Les mots de passe.
Avez-vous été affecté par l`embarcation de sauvetage pirater? Voulez-vous faire confiance à nouveau canot de sauvetage? Comment pouvez-vous garder une trace de vos mots de passe? Faites-nous savoir ci-dessous!