这是一个简短的故事,其中包含封锁,破坏信任,帐户被盗,掩盖,以及Minecraft最受欢迎的社区站点之一。今年早些时候,超过700万名“救生艇" 成员的帐户遭到入侵,据报道该数据已卖给了暗网上的最高出价者。
700万用户!
大规模漏洞被Troy Hunt所发现,Troy Hunt是我被伪造了吗?漏洞通知站点背后的安全研究人员。他从积极从事被盗登录凭据交易的某人那里收到有关数据的提示,并且过去也曾从该人那里收到过其他数据。
“这些数据是由一个积极参与其中的人提供给我的在交易中谁过去曾向我发送其他数据"。
他的发现揭露了救生艇上存在不足的安全性,以及在漏洞发生后同样缺乏不足的事件序列。
—我被弄了吗? (@haveibeenpwned),2016年4月26日
救生艇为自定义Minecraft Pocket Edition环境运行服务器,以参与各种多人游戏模式,例如“夺旗"或“生存"。救生艇用户连接到社区服务器,并使用电子邮件地址和密码注册所需的用户名。
用户不知道,然后救生艇用现在臭名昭著的弱MD5算法对密码进行哈希处理,这意味着使用基本(且易于使用)的工具很容易破解密码。
当公司遇到涉及用户个人详细信息的数据泄露时,通常的做法是通知他们。不幸的是,让用户知道其帐户的私人电子邮件地址和密码已被潜在的恶意实体获取。似乎很合理。
救生艇忽略了执行此看似基本的任务,而是决定由于泄露的数据中不包含财务信息,因此触发无提示的站点范围密码重置可能就足够了。即便如此,安全漏洞的故事仍在继续,救生艇建议用户创建短密码,这与广泛接受的密码生成实践相反。
“顺便说一句,我们建议使用短而难于猜测的密码。这不是在线银行业务。"
但是,尽管Lifeboat声称在站点范围内重置了密码,但许多与该违规行为联系的用户仍做出了负面回应,称他们没有收到任何此类重置电子邮件,或者
“很遗憾,他们一开始就被破坏了,但没有告诉我们更糟糕的情况"。
错误吗?
救生艇数据泄露事件看起来像是在紧急情况下不应该执行的操作的列表。违规本身已立即排在我被伪造的前10名中的第7位。
正是系统的缺陷引起了这种关注。不仅违反了电子邮件地址和密码,而且还积极鼓励用户通过不明智的密码建议来削弱自己确保个人数据安全的机会。然后最重要的是,救生艇使用了一种易于破解的加密方法对密码进行了哈希处理。
如果救生艇选择了相反的建议–使用更长的,由字母,数字和符号组成的密码–数据对于那些数据交易者来说本来就不那么吸引人。考虑一下:包含六个字母数字字符的密码仅限于62 6 (26个小写,26个大写,数字0-9)。即使使用基本的在线工具,安全研究人员或恶意团体也将在几周内破解该密码。脱机工具使用功能强大的计算机,将在秒内被破解。
糟糕的密码建议是他们自己糟糕的安全管理方法。救生艇选择使用未加盐的MD5哈希值来掩盖明文密码。在提供基本级别的保护的同时,MD5旨在提供极快的资源轻加密。从一开始,这些特性就使MD5成为了非常方便的工具。大多数零售计算机根本没有足够的能力来破解加密。
但是,时代在变化,我们的家用计算机远远优于十年前开发的家用计算机,从而极大地破坏了使用哈希算法进行哈希运算的有效性。 MD5。
未加盐的密码
为了在伤口上撒些盐,救生艇犯了最后一个错误。保护密码的MD5哈希值未加盐。这意味着明文密码不会与每个用户帐户的唯一值组合在一起,从而使破解和匹配过程变得更加容易。
Salting可以确保每个单独的散列密码完全唯一,即使它们包含相同的字符。任何希望查看密码的人都必须单独破解每个哈希。
返回安全吗?
救生艇并没有发布太多有关该漏洞的声明。我认为,他们的立场仍然是,尽管数据泄露是应受谴责的,但由于他们不拥有任何其他个人信息或财务信息,因此应相对减少损害。救生艇还证实,该站点或其任何服务器上都不再使用MD5。
“When this happened [in] early January we figured the best thing for our players was to quietly force a password reset without letting the hackers know they had limited time to act. We did this over a period of some weeks.”
即使直接损坏受到限制,也可能会有其他后果。人们通常在密码方面比较懒惰,只使用少数几个保护他们的所有在线帐户。
-Troy Hunt(@troyhunt)2016年4月28日
虽然存在风险如果一次泄露大量帐户的违规行为被放大,那么这一课应该很清楚:如果您真的很关心帐户的完整性,您的私人数据,个人数据等等,请为每个帐户使用强大的唯一密码。因此,当一项服务遭到破坏时,您将不会成为统计信息。
救生艇用户:顺便说一句,现在该更改所有密码了。
您是否受到救生艇黑客的袭击?您会再次信任救生艇吗?您如何跟踪密码?在下面让我们知道!
