Close Menu

    7 millions de comptes Minecraft piratés

    Louise GoossensBy 6 Mins Read Technologies
    minecraft-users-hacked
    partners

    7 millions de comptes Minecraft piratés


    Ceci est une courte histoire sur les blocs, la confiance brisée, le vol de compte, les dissimulations et l’un des sites communautaires les plus populaires de Minecraft.Comptes de plus de 7 millions de membres canot de sauvetage Piratée plus tôt cette année, les données auraient été vendues aux plus offrants sur le dark web.

    7 millions d’utilisateurs !

    La vulnérabilité massive a été découverte en janvier par Troy Hunt, le chercheur en sécurité derrière le système. Suis-je pwned? Site Web de notification de violation. Il avait reçu des conseils sur les données de quelqu’un qui était activement impliqué dans le commerce d’identifiants de connexion piratés, et avait reçu d’autres données de cette personne dans le passé.

    « Ces données m’ont été fournies par une personne activement impliquée dans la transaction qui m’a envoyé d’autres données dans le passé »

    Ses découvertes ont révélé les mesures de sécurité ternes des canots de sauvetage et une chaîne d’événements tout aussi fastidieuse après la brèche.

    Lifeboat exécute un serveur pour un environnement Minecraft Pocket Edition personnalisé. Il permet aux joueurs utilisant la version mobile du générateur de voxels extrêmement populaire de s’engager dans divers modes de jeu multijoueurs tels que la capture du drapeau ou la survie. Les utilisateurs de Lifeboat se connectent au serveur de la communauté et s’inscrivent avec le nom d’utilisateur souhaité avec une adresse e-mail et un mot de passe. Des trucs assez standards.

    À l’insu des utilisateurs, Lifeboat hache ensuite le mot de passe à l’aide de l’algorithme MD5 faible désormais notoire, ce qui signifie qu’il est facile à craquer avec des outils de base (et faciles à utiliser).

    Faire une vidéo du jour

    après la fuite

    Lorsqu’une entreprise est confrontée à une violation de données impliquant les données personnelles de ses utilisateurs, il est courant de les notifier. Malheureusement, informer les utilisateurs que leurs adresses e-mail privées et les mots de passe de leur compte ont été obtenus par des entités potentiellement malveillantes. Cela semble raisonnable.

    Lifeboat a ignoré cette tâche apparemment basique, décidant à la place que puisque les données compromises ne contenaient aucune information financière, cela pourrait être suffisant pour déclencher une réinitialisation silencieuse du mot de passe à l’échelle du site. Même ainsi, l’histoire de la violation de la sécurité continue et Lifeboat conseille à ses utilisateurs de créer des mots de passe courts – l’exact opposé des pratiques de génération de mots de passe largement acceptées.

    « Au fait, nous vous recommandons d’utiliser des mots de passe courts mais difficiles à deviner. Il ne s’agit pas de services bancaires en ligne. »

    Cependant, malgré les affirmations de Lifeboat de réinitialiser les mots de passe à l’échelle du site, de nombreux utilisateurs contactés pour la violation ont répondu négativement, affirmant qu’ils n’avaient reçu aucun e-mail de réinitialisation et n’entraient pas dans le jeu ou n’étaient pas avertis lors de la connexion aux serveurs Lifeboat.

    « C’est dommage qu’ils soient cassés en premier lieu, mais c’est pire de ne pas nous le dire »

    Qu’est ce qui ne s’est pas bien passé?

    Une violation de données de canot de sauvetage est comme une liste de contrôle de ce qu’il ne faut pas faire en cas d’urgence.La violation elle-même a été immédiatement classée 7e Suis-je trompé Top 10.

    C’est une défaillance systémique qui a suscité tant d’inquiétude. Non seulement les adresses e-mail et les mots de passe sont compromis, mais les utilisateurs sont activement encouragés à réduire leurs chances de protéger leurs données personnelles en recommandant des mots de passe imprudents. Ensuite, en plus de cela, Lifeboat a haché le mot de passe en utilisant une méthode de cryptage facile à casser.

    MD5

    Si Lifeboat avait opté pour le conseil inverse – en utilisant des mots de passe plus longs contenant une combinaison de lettres, de chiffres et de symboles – les données seraient beaucoup moins attrayantes pour ces commerçants de données. Considérez ceci : les mots de passe contenant six caractères alphanumériques sont limités à 626 (26 lettres minuscules, 26 lettres majuscules, chiffres 0-9). Même avec des outils en ligne de base, un chercheur en sécurité ou une partie malveillante pourrait déchiffrer le mot de passe en quelques semaines.Outil hors ligne, peut être fissuré avec un ordinateur puissant Seconde.

    Pour compliquer les mauvais conseils de mot de passe, c’est leur propre mauvaise gestion de la sécurité. Lifeboat a choisi des hachages MD5 non salés pour masquer les mots de passe en texte clair. Tout en offrant un niveau de protection de base, MD5 est conçu pour fournir un chiffrement extrêmement rapide et peu gourmand en ressources. A l’origine, ces qualités faisaient du MD5 un outil très pratique. La plupart des ordinateurs vendus au détail n’ont tout simplement pas assez de puissance pour déchiffrer le cryptage.

    Cependant, les temps changent et nos ordinateurs personnels sont bien meilleurs que ceux développés il y a dix ans, ce qui réduit considérablement l’efficacité de tout ce qui utilise le hachage MD5.

    mot de passe non salé

    Pour saupoudrer de sel sur la plaie, le canot de sauvetage a commis une dernière erreur. Le hachage MD5 du mot de passe protégé n’est pas salé. Cela signifie que les mots de passe en texte clair ne sont pas liés à une valeur unique pour chaque compte d’utilisateur, ce qui facilite le processus de craquage et de correspondance.

    Le salage garantit essentiellement que chaque mot de passe haché individuellement est complètement unique, même s’ils contiennent les mêmes caractères. Toute personne souhaitant voir le mot de passe devrait déchiffrer chaque hachage individuellement.

    Retour en toute sécurité ?

    Lifeboat n’a pas fait beaucoup de déclaration sur la brèche. Je crois que leur position demeure que même si une violation de données est répréhensible, puisqu’ils ne détiennent aucune information personnelle ou financière supplémentaire, les dommages devraient être relativement limités. Lifeboat a également confirmé que MD5 n’est plus utilisé sur ce site ou sur l’un de ses serveurs.

    « Quand ça s’est passé [in] Début janvier, nous pensions que la meilleure chose à faire pour nos joueurs était de forcer discrètement une réinitialisation du mot de passe sans faire savoir aux pirates qu’ils avaient un temps limité pour agir. Nous l’avons fait en quelques semaines. « 

    Même si le préjudice immédiat est limité, il peut y avoir d’autres conséquences. Les gens sont souvent paresseux en ce qui concerne les mots de passe et n’utilisent qu’une poignée de mots de passe pour protéger tous leurs comptes en ligne.

    Bien que le risque d’exposer plusieurs comptes en une seule violation soit amplifié, la leçon doit être claire : si vous vous souciez vraiment du caractère sacré de vos comptes, de vos informations privées, de vos données personnelles, etc., utilisez un mot de passe fort et unique. Ainsi, vous ne serez pas une statistique lorsqu’un service est interrompu.

    Au fait, utilisateurs de canots de sauvetage : il est temps de changer tout votre le mot de passe.

    Êtes-vous concerné par le piratage Lifeboat ? Ferez-vous à nouveau confiance aux canots de sauvetage ? Comment gardez-vous une trace de vos mots de passe ? Faites-nous savoir ci-dessous!

    A propos de l’auteur

    Share.

    Related Posts

    Add A Comment
    Leave A Reply