SEVEN MILLONES cuentas de Minecraft hackeadas
Esta es una breve historia de bloques, confianza rota, cuentas comprometidas, encubrimientos y uno de los sitios de la comunidad de Minecraft más populares. Las cuentas de más de 7 millones de miembros de Bote salvavidas se comprometieron a principios de año y, según se informa, los datos se han vendido a los mejores postores de la Dark Net.
7 millones de usuarios!
La brecha masiva fue descubierta en enero Manténgase al día con las últimas fugas de datos: siga estos 5 servicios y fuentes de información Manténgase al día con las últimas fugas de datos: siga estos 5 servicios y fuentes Lea más por Troy Hunt, el investigador de seguridad detrás del Me han pwned? sitio de notificación de violación. Recibió un consejo acerca de los datos de alguien que participa activamente en el intercambio de credenciales de inicio de sesión pirateadas, y en el pasado recibió otros datos del individuo..
“Los datos me los proporcionó alguien que participó activamente en el comercio y que me envió otros datos en el pasado.”
Su descubrimiento puso de manifiesto la falta de seguridad en el bote salvavidas y la secuencia de eventos igualmente inseguros que siguieron a la brecha..
Nueva infracción: en enero, la comunidad de Minecraft "Lifeboat" tuvo 7M de cuentas expuestas. El 6% ya estaba en @haveibeenpwned https://t.co/LGaAniJH32
- ¿Me han pwned? (@haveibeenpwned) 26 de abril de 2016
Lifeboat ejecuta servidores para entornos personalizados de Minecraft Pocket Edition. ¿Debería obtener Minecraft Windows 10 Edition? ¿Debería obtener Minecraft Windows 10 Edition? Si compró Minecraft en el pasado, puede obtener la edición de Windows 10 de forma gratuita. De lo contrario, podría utilizar una prueba gratuita de 90 minutos. Mientras tanto, vea cómo nos gustó Minecraft en Windows 10. Lea más. ¡Permite a los jugadores usar la versión móvil del extremadamente popular voxel-builder 10 Indie City y Base Builders para probar ahora mismo! ¡10 constructores de ciudades y bases Indie para probar ahora mismo! Hay una gran cantidad de desarrolladores independientes que trabajan en una gran cantidad de increíbles juegos de estilo de constructores de ciudades y bases. Echemos un vistazo a algunos de los mejores constructores de bases y ciudades independientes a los que puedes jugar ... Leer más para participar en los diversos modos multijugador, como Capturar la bandera o Supervivencia. Los usuarios de Lifeboat se conectan a un servidor comunitario y registran el nombre de usuario deseado con una dirección de correo electrónico y una contraseña. Cosas bastante estandar.
Sin que los usuarios lo supieran, Lifeboat luego introdujo las contraseñas con el algoritmo MD5, que ahora es muy famoso, lo que significa que las contraseñas habrían sido fáciles de descifrar con herramientas básicas (y fácilmente disponibles)..
Siguiendo la fuga
Cuando una empresa experimenta una brecha de datos que involucra los datos personales de sus usuarios, el curso de acción común es informarles por qué las empresas que guardan las brechas en secreto podrían ser una cosa buena por qué las compañías que mantienen las brechas en secreto podrían ser una cosa buena con tanta información En línea, todos nos preocupamos por posibles violaciones de seguridad. Pero estas infracciones podrían mantenerse en secreto en los EE. UU. Para protegerte. Suena loco, entonces, ¿qué está pasando? Lee mas . Desgraciadamente, una entidad potencialmente maliciosa ha adquirido información sobre la dirección de correo electrónico privada y la contraseña para su cuenta. Parece bastante razonable.
Bote salvavidas se negó a hacer esta tarea aparentemente básica, en lugar de decidir que como los datos violados no contenían información financiera, probablemente sería suficiente activar un restablecimiento silencioso de la contraseña en todo el sitio. Incluso entonces, la historia de fallas de seguridad continúa, con Lifeboat aconsejando a sus usuarios crear contraseñas cortas, literalmente lo opuesto a la práctica de generación de contraseñas ampliamente aceptada 7 Errores de contraseña que probablemente lo hackearán 7 Errores de contraseña que probablemente lo hackearán Las contraseñas peores de 2015 han sido lanzados, y son bastante preocupantes. Pero muestran que es absolutamente crítico fortalecer tus contraseñas débiles, con solo unos pocos ajustes simples. Lee mas .
“Por cierto, recomendamos contraseñas cortas, pero difíciles de adivinar. Esto no es banca en línea.”
Sin embargo, a pesar de las afirmaciones de Lifeboat de un restablecimiento de la contraseña en todo el sitio, muchos usuarios contactados en relación con la violación respondieron negativamente, diciendo que no recibieron dicho correo electrónico de restablecimiento, o una notificación al ingresar al juego o al conectarse a un servidor de Lifeboat.
“Es malo que hayan sido violados en primer lugar, pero no decirnos que es aún peor”
Qué salió mal?
La brecha de datos del bote salvavidas se lee como una lista de lo que no se debe hacer en caso de una emergencia. La propia violación se ha colocado inmediatamente en el # 7 en el Me han pwned top 10.
Son los fallos sistemáticos los que han atraído tanta atención. No solo se violaron la dirección de correo electrónico y las contraseñas, sino que se alentó a los usuarios a debilitar sus posibilidades de garantizar la seguridad de los datos personales mediante una recomendación de contraseña poco aconsejable. Luego, para rematarlo realmente, Lifeboat había pirateado las contraseñas utilizando un método de cifrado fácil de romper.
MD5
Si Lifeboat hubiera elegido el consejo opuesto (use contraseñas más largas con una combinación de letras, números y símbolos), los datos habrían sido mucho menos atractivos para los comerciantes de datos. Considere esto: una contraseña que contiene seis caracteres alfanuméricos está limitada a solo 626 (26 minúsculas, 26 mayúsculas, números 0-9). Incluso con el uso de herramientas básicas en línea, los investigadores de seguridad o las partes malintencionadas perderán esa contraseña en semanas. Las herramientas fuera de línea, usando una computadora poderosa, serán rajadas segundos.
Para agravar la terrible contraseña, el consejo era su propia falta de mantenimiento de seguridad. Lifeboat optó por hashes MD5 sin sal para ocultar las contraseñas de texto simple. Al ofrecer un nivel básico de protección, MD5 fue diseñado para ofrecer encriptación extremadamente rápida y con recursos limitados. ¿Cómo funciona el cifrado y es realmente seguro? ¿Cómo funciona el cifrado, y es realmente seguro? Lee mas . En su origen, estas cualidades hicieron del MD5 una herramienta muy útil. La mayoría de las computadoras minoristas simplemente no tenían suficiente poder para descifrar el cifrado.
Sin embargo, los tiempos cambian, y nuestras computadoras domésticas son muy superiores a las desarrolladas hace solo una década, lo que socava drásticamente la efectividad de todo lo que se haya dañado con MD5..
Contraseñas sin sal
Y solo para frotar sal en la herida, Lifeboat cometió un error final. Los hashes MD5 que protegían las contraseñas no tenían sal. Lo que todo esto de MD5 Hash significa realmente [Tecnología explicada] Lo que todo esto de MD5 Hash Stuff significa realmente [tecnología explicada] Aquí hay un resumen completo de MD5, hashing y una pequeña descripción de computadoras y criptografía. . Lee mas . Esto significa que las contraseñas de texto sin formato no se combinaron con un valor único para cada cuenta de usuario, lo que hace que el proceso de craqueo y comparación sea mucho más fácil.
Básicamente, la salazón garantiza que cada contraseña con hash individual es completamente única, incluso si contienen caracteres idénticos. Cualquier persona que desee ver las contraseñas tendría que descifrar cada hash individualmente.
Seguro para volver?
Bote salvavidas no ha emitido demasiadas declaraciones en relación con la violación. Creo que su postura sigue siendo que si bien la violación de datos es reprensible, ya que no contienen información personal adicional ni información financiera, el daño debería ser relativamente limitado. Bote salvavidas también ha confirmado que MD5 ya no está en uso en el sitio, o en cualquiera de sus servidores.
“Cuando esto sucedió a principios de enero, pensamos que lo mejor para nuestros jugadores era forzar en silencio el restablecimiento de la contraseña sin avisar a los hackers que tenían un tiempo limitado para actuar. Hicimos esto durante un período de algunas semanas..”
Incluso si el daño directo es limitado, podría haber otras consecuencias. En general, las personas son perezosas cuando se trata de contraseñas, y solo utilizan un puñado para proteger todas sus cuentas en línea..
"Literalmente, todas mis contraseñas, redes sociales, servidores Pe, correo electrónico, etc. fueron esta contraseña, ¿tengo que cambiarlas todas?" https://t.co/f2sh4Lz20f
- Troy Hunt (@troyhunt) 28 de abril de 2016
Si bien se magnifica el riesgo de que una sola infracción exponga una cantidad de cuentas, la lección debe ser clara: si realmente te importa la santidad de tus cuentas, tus datos personales y privados y más, usa una contraseña sólida y única para cada una. Entonces, cuando se rompe un servicio, no se convertirá en una estadística..
Por cierto, los usuarios de Lifeboat: es hora de cambiar toda su contraseñas.
¿Te ha afectado el hack del bote salvavidas? ¿Confiarás en el bote salvavidas de nuevo? ¿Cómo hacer un seguimiento de sus contraseñas? Háganos saber a continuación!
Obtenga más información sobre: Minecraft, seguridad en línea, contraseña, violación de seguridad.