Исследователь Трой Хант обнаружил, что с крупного сервера игры Minecraft Pocket Edition похитили семь миллионов паролей.
Дело осложняется тем, что владельцы сервера нарушали все мыслимые и немыслимые правила хранения паролей, давали пользователям опасные советы и до последнего скрывали произошедший взлом.
База данных была похищена у небольшой компании Lifeboat, которая поддерживает популярный сервер для мобильной версии Minecraft. Сервер Lifeboat отличается от обычного тем, что предлагает нестандартные режимы игры, такие как захват флага и детматч. По словам Ханта, базу данных Lifeboat ему передал человек, который активно участвует в торговле похищенными паролями. В прошлом он уже оказывал помощь исследователю.
Хант сообщает, что Lifeboat хранил пароли пользователей в форме хэшей, созданных при помощи алгоритма MD5 без использования модификатора, поэтому злоумышленникам не составит труда восстановить пароли из хэша путём перебора всех вариантов или подбором по словарю.
Чтобы исключить утечку паролей, их никогда не хранят в виде текста. На сервере к паролю прибавляют случайную строку (модификатор или «соль»), затем хэшируют при помощи алгоритма, который требует продолжительных вычислений, и сохраняют результат. Хэширование не позволяет использовать краденые пароли в чистом виде, а модификатор затрудняет восстановление пароля путём перебора или по таблице заранее вычисленных хэшей.
В Lifeboat нарушили почти все правила безопасного хранения паролей. Модификатор отсутствует, а алгоритм хэширования — очень старый и быстрый. Вдобавок, у многих пользователей совсем короткие пароли, которые особенно просто подобрать. Дело в том, что владельцы сервера сами рекомендовали начинающим выбирать короткие пароли, ссылаясь на то, что «это не интернет-банк», а всего лишь игра.
Хотя утечка произошла ещё в январе, пользователи узнали о ней только после публикаций в СМИ. В Lifeboat утверждают, что держали взлом в секрете, чтобы обмануть хакеров. После утечки компания якобы заменила MD5 на другой алгоритм и сбросила пароли для всех пользователей. Если вы хотите обеспечить безопасность данных в сети интернет, используйте для каждого сервиса отдельный пароль и помните, что он должен быть надежным.
