:

Szerző: Voith Hunor

2016. április 27. 09:30

Hétmillió Minecraft PE játékos adatait lopták el

Tájékoztatás viszont nem volt. Az egyedi szervereket üzemeltető Lifeboat, nem pedig a Mojang a hunyó. A Lifeboat szerverein játszóknak azonnal érdemes jelszót változtatni, ott is, ahol ugyanezt vagy hasonló jelszót használnak.

Óriási adatvesztést próbált meg eltussolni az egyedi Minecraft Pocket Edition szervereket üzemeltető Lifeboat. Troy Hunt biztonsági szakértő tegnap délelőtt már jelezte, hogy milliós nagyságrendű adatlopást fog nyilvánosságra hozni, délután pedig a Have I Been Pwnd? top 10-es listáján megjelent a Lifeboat, és mellette a szám: 7 089 395. Az eddigi információk szerint a cég teljesen a szőnyeg alá akarta söpörni az incidenst, mert szerintük ez volt "játékosaik legjobb érdeke".

A sikeres támadás a Lifeboat szerint valamikor idén január elején történt, és bár általános személyes információkat (név, cím stb.) a szolgáltatás használatához a cég nem kér és nem is tárol, felhasználónevet, email címet és jelszót igen. Ezek kerültek ki, és forognak Hunt szerint jelenleg is a feketepiacon – az ő figyelmét is egy "kereskedő" kapcsolata hívta fel az adatbázisra.

Bár a jelszavakat a Lifeboat szerencsére nem sima szöveges (plaintext) formátumban, hanem hash-elve tárolta, egyrészt az iparágban köztudottan gyenge MD5 algoritmust alkalmazta, másrészt nem védte azokat "sózással" (salted hash), azaz további, véletlenszerűen generált adat hozzáadásával. Hunt szerint így a jelszavak jelentős része céleszközökkel (például célkönyvtárakat alkalmazó brute force programokkal és szivárványtáblázatokkal) viszonylag könnyen visszafejthető. Ekkora merítésnél nagyon sok az általános, rövid és gyenge jelszó, ahogy ezt néhány éve a szintén milliós nagyságrendű Adobe-incidens is megmutatta.

Modern SOC, kiberhírszerzés és fenntartható IT védelem (x)

Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.

Modern SOC, kiberhírszerzés és fenntartható IT védelem (x) Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.

A Lifeboat elvileg azóta erősebb hash algoritmust használ, és az adatvesztést követő néhány hét során "csendben" jelszót is cseréltettek felhasználóikkal. Tájékoztatást viszont a felhasználók egyáltalán nem kaptak, ami azért rendkívül veszélyes, mert mára az emberek akár több tucat online szolgáltatást is igénybe vesznek, és a figyelmeztetések ellenére nagyon gyakori az egyazon vagy nagyon hasonló jelszavak használata.

Az eset egyébként újra remekül példázza, hogy mi fűti a felhős szolgáltatások iránti bizalmatlanságot, és közben mekkora a félreértés és a különbség a valódi felhős szolgáltatók és a "sima" online szolgáltatók valamint azok üzleti modellje között. Az Európai Unióban 2018-tól már kötelező lesz az adatvesztések bejelentése, addig azonban (a telekommunikációs szektort leszámítva) továbbra is az adatkezelőktől függ, bevallják-e az ilyen eseteket. Az Egyesült Államokban a legtöbb államban már élnek ilyen szabályozások – az egyelőre nem tiszta, hogy a Lifeboat Games tulajdonosa, a Hydreon Corporation mivel bújt ki a jelentési kötelezettség alól.

Az ilyen "gyenge láncszemek", vagyis az amatőrök által üzemeltetett szerverek egyre gyakrabban esnek támadók áldozatául, ezzel pedig a felhasználók email-jelszó párosa is kikerül. A HWSW ezért mindenkinek azt javasolja, hogy legalább az email-fiókjához használjon olyan jelszót, amit sehol máshol, kapcsolja be a kétfaktoros beléptetést minden olyan oldalon, amely ezt támogatja, és lehetőség szerint álljon át jelszómenedzser használatára.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról