Edmund Richardson
0 
4096
1098
Il s’agit d’un bref récit de blocages, de liens de confiance brisés, de comptes compromis, de dissimulations et de l’un des sites communautaires les plus populaires de Minecraft. Les comptes de plus de 7 millions de membres de Canot de sauvetage ont été compromis plus tôt dans l’année et les données auraient été vendues au plus offrant sur le Dark Net.
7 millions d'utilisateurs!
La brèche massive a été découverte en janvier. Tenez-vous au courant des dernières fuites de données - Suivez ces 5 services et flux Tenez-vous au courant des dernières fuites de données - Suivez ces 5 services et fils de Troy Hunt, chercheur en sécurité derrière le Ai-je été pwned? site de notification de violation. Il a reçu une information concernant les données d'une personne activement engagée dans le commerce des identifiants de connexion piratés, et avait déjà reçu d'autres données de cette personne dans le passé..
“Les données m'ont été fournies par une personne activement impliquée dans le commerce qui m'a envoyé d'autres données dans le passé.”
Sa découverte a révélé la sécurité insondable en place à Lifeboat, ainsi que la suite d'événements tout aussi apathiques qui a suivi la violation..
Nouvelle brèche: En janvier, la communauté de Minecraft "Lifeboat" avait ouvert 7 millions de comptes. 6% étaient déjà dans @haveibeenpwned https://t.co/LGaAniJH32
- Ai-je été pwned? (@haveibeenpwned) 26 avril 2016
Lifeboat exécute des serveurs pour des environnements personnalisés Minecraft Pocket Edition Si vous obtenez la version 10 de Minecraft Windows? Devriez-vous vous procurer la Minecraft Windows 10 Edition? Si vous avez déjà acheté Minecraft, vous pouvez obtenir gratuitement l’édition Windows 10. Sinon, vous pourriez utiliser un essai gratuit de 90 minutes. En attendant, voyez comment nous avons aimé Minecraft sur Windows 10.. Il permet aux joueurs utilisant la version mobile du très populaire voxel-builder 10 Indie City et Base Builders d’essayer dès maintenant! 10 constructeurs indépendants de villes et de bases à essayer dès maintenant! De nombreux développeurs indépendants travaillent sur une multitude de jeux de ville et de bâtisseurs de base incroyables. Jetons un coup d'œil à certains des meilleurs bâtisseurs de bases et de villes indépendants que vous pouvez jouer… pour participer aux différents modes multijoueurs, tels que Capturer le drapeau ou Survivre. Les utilisateurs de Lifeboat se connectent à un serveur de communauté en enregistrant leur nom d'utilisateur souhaité avec une adresse e-mail et un mot de passe. Trucs assez standard.
À l'insu des utilisateurs, Lifeboat a ensuite déchiqueté les mots de passe avec l'algorithme désormais infâme du MD5, ce qui signifie qu'il aurait été facile de déchiffrer les mots de passe à l'aide d'outils de base (et facilement disponibles)..
Après la fuite
Lorsqu'une entreprise subit une violation de données impliquant les données personnelles de ses utilisateurs, il est habituel d'informer les entreprises. Pourquoi les entreprises qui gardent une information secrète pourrait être une bonne chose? Pourquoi les entreprises qui gardent une information confidentielle pourrait être une bonne chose en ligne, nous nous inquiétons tous des failles de sécurité potentielles. Mais ces violations pourraient être tenues secrètes aux États-Unis afin de vous protéger. Cela semble fou, alors qu'est-ce qui se passe? . Informer les utilisateurs de leur adresse électronique privée et du mot de passe de leur compte a malheureusement été acquis par une entité potentiellement malveillante. Cela semble assez raisonnable.
Lifeboat a négligé de s'acquitter de cette tâche apparemment élémentaire. Elle a plutôt décidé que, les données violées ne contenant aucune information financière, il serait probablement suffisant de déclencher une réinitialisation silencieuse du mot de passe pour l'ensemble du site. Même à ce moment-là, le problème de sécurité se poursuit, Lifeboat conseillant à ses utilisateurs de créer des mots de passe courts - le contraire de la pratique de la génération de mot de passe largement acceptée. 7 Erreurs de mot de passe susceptibles de vous tromper 7 Erreurs de mot de passe susceptibles de vous faire pirater Les pires mots de passe de 2015 ont été publiés et ils sont assez inquiétants. Mais ils montrent qu’il est absolument essentiel de renforcer vos mots de passe faibles, avec juste quelques ajustements simples.. .
“En passant, nous recommandons des mots de passe courts, mais difficiles à deviner. Ce n'est pas une banque en ligne.”
Cependant, malgré les affirmations de Lifeboat concernant une réinitialisation du mot de passe pour l'ensemble du site, de nombreux utilisateurs contactés au sujet de l'infraction ont répondu par la négative, affirmant qu'ils n'avaient reçu aucun courrier électronique de réinitialisation ni notification lors de l'entrée dans le jeu ou de la connexion à un serveur Lifeboat..
“C'est dommage qu'ils aient été violés au départ, mais ne pas nous dire que c'est pire”
Qu'est ce qui ne s'est pas bien passé?
La violation de données de bateau de sauvetage se lit comme une liste de ce qu'il ne faut pas faire en cas d'urgence. La brèche elle-même s'est immédiatement placée au 7e rang du classement Ai-je été pwned Top 10.
Ce sont les défaillances systématiques qui ont attiré une telle attention. Non seulement l'adresse électronique et les mots de passe ont été violés, mais les utilisateurs ont également été fortement encouragés à affaiblir leurs propres chances d'assurer la sécurité des données à caractère personnel par une recommandation de mot de passe mal avisée. Pour couronner le tout, Lifeboat a haché les mots de passe en utilisant une méthode de cryptage facilement cassable..
MD5
Si Lifeboat avait choisi le conseil opposé - utilisez des mots de passe plus longs comportant une combinaison de lettres, de chiffres et de symboles - les données auraient été beaucoup moins attrayantes pour ces traders. Considérez ceci: un mot de passe contenant six caractères alphanumériques est limité à 62 caractères.6 (26 minuscules, 26 majuscules, nombres 0-9). Même en utilisant des outils en ligne de base, les chercheurs en sécurité ou des parties malveillantes verront leur mot de passe déchiffré dans des semaines. Outils hors ligne, utilisant un ordinateur puissant, ça va être craqué secondes.
Le terrible conseil en matière de mot de passe était compliqué par leur propre système de sécurité médiocre. Lifeboat a opté pour des hachages MD5 non salés pour masquer les mots de passe en texte clair. Tout en offrant un niveau de protection de base, MD5 a été conçu pour offrir un cryptage extrêmement rapide, avec peu de ressources. Comment fonctionne le cryptage et est-il vraiment sans danger? Comment fonctionne le cryptage et est-il vraiment sûr? . A l'origine, ces qualités ont fait du MD5 un outil très pratique. La plupart des ordinateurs de vente au détail n'avaient tout simplement pas assez de puissance pour déchiffrer le chiffrement.
Cependant, les temps changent et nos ordinateurs domestiques sont nettement supérieurs à ceux développés il y a dix ans à peine, ce qui compromet considérablement l'efficacité de tout ce qui a été haché avec MD5..
Mots de passe non salés
Et juste pour salir la plaie, Lifeboat a fait une dernière erreur. Les hachages MD5 protégeant les mots de passe n'étaient pas salés. Qu'est-ce que tout ce hachage MD5 signifie en réalité [technologie expliquée] ce que tout ce hachage du MD5 signifie réellement [technologie expliquée] Voici un aperçu complet de MD5, du hachage et d'un petit aperçu des ordinateurs et de la cryptographie . . Cela signifie que les mots de passe en clair ne sont pas combinés avec une valeur unique pour chaque compte d'utilisateur, ce qui simplifie considérablement le processus de craquage et de mise en correspondance..
Le salage garantit fondamentalement que chaque mot de passe haché individuellement est entièrement unique, même s'il contient des caractères identiques. Toute personne souhaitant voir les mots de passe devra craquer chaque hachage individuellement.
Safe to Return?
Les bateaux de sauvetage n'ont pas publié trop de déclarations concernant la brèche. Je crois que leur position reste la suivante: même si la violation de données est répréhensible, étant donné qu’ils ne détiennent aucune information personnelle ou financière supplémentaire, les dommages devraient être relativement limités. Lifeboat a également confirmé que MD5 n'est plus utilisé sur le site ni sur aucun de ses serveurs.
“Lorsque cela s'est produit début janvier, nous avons pensé que la meilleure chose à faire pour nos joueurs était de forcer discrètement une réinitialisation de mot de passe sans que les pirates informatiques sachent qu'ils disposaient de peu de temps pour agir. Nous l'avons fait pendant quelques semaines.”
Même si les dommages directs sont limités, il pourrait y avoir d'autres conséquences. Les gens sont généralement paresseux quand il s'agit de mots de passe, n'utilisant qu'une poignée pour protéger tous leurs comptes en ligne.
"Tous mes mots de passe, médias sociaux, serveurs Pe, e-mails, etc. étaient ce mot de passe. Dois-je les changer tous?" https://t.co/f2sh4Lz20f
- Troy Hunt (@troyhunt) 28 avril 2016
Bien que le risque qu'une seule infraction expose plusieurs comptes soit amplifié, la leçon à tirer est claire: si vous vous souciez vraiment du caractère sacré de vos comptes, de vos données personnelles et personnelles, utilisez un mot de passe fort et unique pour chaque compte. Ainsi, lorsqu'un service est violé, vous ne devenez pas une statistique.
Au fait, utilisateurs de canots de sauvetage: il est temps de changer Tous vos mots de passe.
Avez-vous été touché par le piratage Lifeboat? Ferez-vous de nouveau confiance à Lifeboat? Comment gardez-vous une trace de vos mots de passe? Faites-nous savoir ci-dessous!