SIEBEN MILLIONEN Minecraft-Accounts gehackt
Dies ist eine kurze Geschichte von Blockaden, gebrochenem Vertrauen, gefährdeten Konten, Vertuschungen und einer der beliebtesten Minecraft-Community-Sites. Die Konten von mehr als 7 Millionen Mitgliedern von Rettungsboot Anfang des Jahres wurden Kompromisse eingegangen, und die Daten wurden Berichten zufolge an die höchsten Bieter des Dark Net verkauft.
7 Millionen Benutzer!
Der massive Verstoß wurde im Januar entdeckt. Mit den neuesten Datenlecks Schritt halten - Folgen Sie diesen 5 Diensten & Feeds Halten Sie mit den neuesten Datenlücken Schritt - Folgen Sie diesen 5 Diensten und Feeds Lesen Sie mehr von Troy Hunt, dem Sicherheitsforscher hinter dem Internet Wurde ich pwned? Verstoßbenachrichtigungsseite. Er erhielt einen Hinweis bezüglich der Daten von jemandem, der aktiv mit gehackten Anmeldeinformationen zu tun hatte, und hatte in der Vergangenheit andere Daten von dem Einzelnen erhalten.
“Die Daten wurden mir von jemandem zur Verfügung gestellt, der aktiv mit dem Handel zu tun hat und der mir andere Daten in der Vergangenheit geschickt hat”
Seine Entdeckung enthüllte die mangelnden Sicherheitsvorkehrungen bei Lifeboat und die ebenso mangelnde Distanz zwischen den Ereignissen, die auf den Bruch folgten.
Neuer Durchbruch: Im Januar hatte die Minecraft-Community "Lifeboat" 7 Millionen Konten ausgesetzt. 6% waren bereits in @haveibeenpwned https://t.co/LGaAniJH32
- Wurde ich pwned (@haveibeenpwned) 26. April 2016
Auf dem Rettungsboot werden Server für benutzerdefinierte Minecraft Pocket Edition-Umgebungen ausgeführt. Sollten Sie die Minecraft Windows 10 Edition erwerben? Solltest du dir die Minecraft Windows 10 Edition besorgen? Wenn Sie Minecraft in der Vergangenheit gekauft haben, erhalten Sie die Windows 10 Edition kostenlos. Andernfalls können Sie eine 90-minütige kostenlose Testversion verwenden. Inzwischen finden Sie heraus, wie gut Minecraft unter Windows 10 gefallen hat. Lesen Sie mehr. Spieler können die mobile Version des äußerst beliebten Voxel-Builder 10 Indie City und Base Builders sofort ausprobieren! 10 Indie City- und Base-Builders, um es jetzt zu versuchen! Es gibt eine Reihe von Indie-Entwicklern, die an einer Vielzahl fantastischer Spiele im Stil von Städten und Basenbauern arbeiten. Werfen wir einen Blick auf einige der besten unabhängigen Builder für Städte und Städte, an denen Sie teilnehmen können… Lesen Sie mehr, um an den verschiedenen Multiplayer-Modi teilzunehmen, z. B. Capture the Flag oder Survival. Rettungsbootbenutzer stellen eine Verbindung zu einem Community-Server her und registrieren ihren gewünschten Benutzernamen mit einer E-Mail-Adresse und einem Kennwort. Ziemlich Standard.
Ohne die Benutzer zu wissen, hat Lifeboat dann die Passwörter mit dem nunmehr schwachen MD5-Algorithmus gehasht, was bedeutet, dass die Passwörter mit einfachen (und leicht verfügbaren) Tools leicht zu knacken waren.
Nach dem Leck
Wenn bei einem Unternehmen ein Verstoß gegen die personenbezogenen Daten der Benutzer auftritt, wird allgemein darüber informiert, warum Unternehmen ein Geheimnis geheim halten könnten. Warum Unternehmen ein Unternehmen schützen, kann dies eine gute Sache sein Online sorgen wir uns alle um mögliche Sicherheitsverletzungen. Aber diese Verstöße könnten in den USA geheim gehalten werden, um Sie zu schützen. Es klingt verrückt, also was ist los? Weiterlesen . Die Benachrichtigung der Benutzer über ihre private E-Mail-Adresse und das Kennwort für ihr Konto wurde leider von einer potenziell böswilligen Instanz erworben. Es scheint ziemlich vernünftig zu sein.
Rettungsboot vernachlässigte diese scheinbar grundlegende Aufgabe. Stattdessen entschied es sich, dass die verletzten Daten keine Finanzinformationen enthielten. Sogar dann geht die Sicherheitsfehlergeschichte weiter: Mit dem Rettungsboot wird den Benutzern geraten, kurze Passwörter zu erstellen - buchstäblich das Gegenteil einer weithin akzeptierten Praxis der Passwortgenerierung 2015 wurde veröffentlicht und sie machen sich Sorgen. Sie zeigen jedoch, dass es absolut wichtig ist, Ihre schwachen Passwörter mit ein paar einfachen Optimierungen zu verstärken. Weiterlesen .
“Wir empfehlen übrigens kurze, aber schwer zu erratende Passwörter. Dies ist kein Online-Banking.”
Trotz der Behauptung von Lifeboat, ein standortweites Passwort zurückzusetzen, reagierten viele Benutzer, die sich auf den Verstoß bezogen hatten, negativ und sagten, dass sie keine solche Reset-E-Mail oder eine Benachrichtigung erhalten, wenn sie das Spiel betreten oder sich mit einem Lifeboat-Server verbinden.
“Es ist schlimm, dass sie in erster Linie verletzt wurden, aber es ist noch schlimmer, wenn man uns nichts davon erzählt”
Was schief gelaufen ist?
Die Verletzung des Rettungsboots liest sich wie eine Liste, was im Notfall nicht zu tun ist. Die Verletzung selbst hat sich sofort auf Platz 7 im Wurde ich pwned Top 10.
Es sind systematische Fehler, die solche Aufmerksamkeit erregt haben. Nicht nur die E-Mail-Adresse und die Passwörter wurden verletzt, sondern die Benutzer wurden aktiv dazu ermutigt, ihre eigene Chance, die Sicherheit personenbezogener Daten zu gewährleisten, durch eine schlecht empfohlene Passwortempfehlung zu schwächen. Um das Ganze abzurunden, hatte Lifeboat die Passwörter mit einer leicht zu brechenden Verschlüsselungsmethode gehasht.
MD5
Wenn Rettungsboot den gegenteiligen Rat gewählt hätte - verwenden Sie längere Passwörter mit einer Kombination aus Buchstaben, Zahlen und Symbolen -, wären die Daten für diese Datenhändler viel weniger attraktiv gewesen. Bedenken Sie Folgendes: Ein Passwort mit sechs alphanumerischen Zeichen ist auf 62 beschränkt6 (26 Kleinbuchstaben, 26 Großbuchstaben, Ziffern 0-9). Selbst bei der Verwendung grundlegender Online-Tools haben Sicherheitsforscher oder böswillige Parteien dieses Kennwort innerhalb von Wochen geknackt. Offline-Tools, die einen leistungsstarken Computer verwenden, werden eingeknackt Sekunden.
Den schrecklichen Passwort-Rat zusammenstellte, war ihre eigene schlechte Hauswirtschaft. Das Rettungsboot entschied sich für ungesalzene MD5-Hashes, um die Klartextpasswörter zu verschleiern. Das MD5 bietet zwar ein grundlegendes Schutzniveau, wurde jedoch so konzipiert, dass es eine extrem schnelle, ressourcenschonende Verschlüsselung bietet. Wie funktioniert die Verschlüsselung und ist sie wirklich sicher? Wie funktioniert die Verschlüsselung und ist sie wirklich sicher? Weiterlesen . Diese Eigenschaften machten MD5 bei seiner Entstehung zu einem sehr nützlichen Werkzeug. Die meisten Computer im Einzelhandel hatten einfach nicht genug Leistung, um die Verschlüsselung zu knacken.
Die Zeiten ändern sich jedoch, und unsere Heimcomputer sind den vor einem Jahrzehnt entwickelten Computern weit überlegen, was die Wirksamkeit von MD5-Hashing drastisch untergräbt.
Ungesalzene Passwörter
Um Salz in die Wunde zu reiben, machte Lifeboat einen letzten Fehler. Die MD5-Hashes zum Schutz der Kennwörter wurden nicht gesalzen. Was bedeutet das alles, was MD5 tatsächlich bedeutet? Was bedeutet das? Alles, was MD5-Hash-Mittel tatsächlich bedeutet Hier werden ein vollständiger Überblick über MD5, Hashing und ein kleiner Überblick über Computer und Kryptographie gegeben . Weiterlesen . Dies bedeutet, dass die Klartextkennwörter nicht mit einem eindeutigen Wert für jedes Benutzerkonto kombiniert wurden, wodurch der Vorgang des Aufbrechens und Abgleichs wesentlich vereinfacht wird.
Durch das Salting wird grundsätzlich sichergestellt, dass jedes einzeln gehashte Passwort völlig eindeutig ist, auch wenn es identische Zeichen enthält. Jeder, der die Passwörter sehen möchte, muss jeden Hash einzeln knacken.
Sicher zurück?
Das Rettungsboot hat nicht zu viele Aussagen zu dem Verstoß gemacht. Ich bin der Meinung, dass die Verletzung der Daten zwar verwerflich ist, da sie keine zusätzlichen persönlichen Informationen oder Finanzinformationen enthält, der Schaden jedoch relativ begrenzt sein sollte. Rettungsboot hat auch bestätigt, dass MD5 am Standort oder auf einem seiner Server nicht mehr verwendet wird.
“Als dies Anfang Januar geschah, haben wir uns vorgenommen, das Beste für unsere Spieler zu finden, indem sie das Passwort zurücksetzen, ohne dass die Hacker wissen, dass sie nur eine begrenzte Zeit zum Handeln haben. Wir haben das über einige Wochen gemacht.”
Selbst wenn der direkte Schaden begrenzt ist, kann es zu anderen Folgen kommen. Die Leute sind in der Regel faul in Bezug auf Passwörter und verwenden nur eine Handvoll, um alle ihre Online-Konten zu schützen.
"Wörtlich alle Passwörter, Social Media, Pe-Server, E-Mail usw. waren dieses Passwort. Muss ich sie alle ändern?" https://t.co/f2sh4Lz20f
- Troy Hunt (@troyhunt) 28. April 2016
Während das Risiko, dass ein einzelner Verstoß mehrere Konten aufdeckt, vergrößert wird, sollte die Lektion klar sein: Wenn Sie wirklich auf die Richtigkeit Ihrer Konten, Ihrer privaten und persönlichen Daten und mehr achten, verwenden Sie für jedes Konto ein eindeutiges Kennwort. Wenn also ein Dienst verletzt wird, werden Sie keine Statistik.
Übrigens, Benutzer von Rettungsbooten: Es ist Zeit zu ändern alle deine Passwörter.
Warst du vom Rettungsboot-Hack betroffen? Werdet ihr wieder dem Rettungsboot vertrauen? Wie behalten Sie Ihre Passwörter im Auge? Lass es uns unten wissen!
Erfahren Sie mehr über: Minecraft, Online-Sicherheit, Passwort, Sicherheitsverletzung.