Óriási adatvesztést próbált meg eltussolni az egyedi Minecraft Pocket Edition-szervereket üzemeltető Lifeboat. Troy Hunt biztonsági szakértő tegnap délelőtt már jelezte, hogy milliós nagyságrendű adatlopást fog nyilvánosságra hozni, délután pedig a Have I Been Pwnd? top 10-es listáján megjelent a Lifeboat, és mellette a szám: 7 089 395. Az eddigi információk szerint a cég teljesen a szőnyeg alá akarta söpörni az incidenst, mert szerintük ez volt "játékosaik legjobb érdeke".
A sikeres támadás a Lifeboat szerint valamikor idén január elején történt, és bár általános személyes információkat (név, cím stb.) a szolgáltatás használatához a cég nem kér és nem is tárol, felhasználónevet, email címet és jelszót igen. Ezek kerültek ki, és forognak Hunt szerint jelenleg is a feketepiacon – az ő figyelmét is egy "kereskedő" kapcsolata hívta fel az adatbázisra.
Bár a jelszavakat a Lifeboat szerencsére nem sima szöveges (plaintext) formátumban, hanem hash-elve tárolta, egyrészt az iparágban köztudottan gyenge MD5 algoritmust alkalmazta, másrészt nem védte azokat "sózással" (salted hash), azaz további, véletlenszerűen generált adat hozzáadásával. Hunt szerint így a jelszavak jelentős része céleszközökkel (például célkönyvtárakat alkalmazó brute force programokkal és szivárványtáblázatokkal) viszonylag könnyen visszafejthető. Ekkora merítésnél nagyon sok az általános, rövid és gyenge jelszó, ahogy ezt néhány éve a szintén milliós nagyságrendű Adobe-incidens is megmutatta.
Ha kíváncsi vagy a további részletekre, olvasd el a teljes cikket a HWSW-n!
tehat ha nem jatszottal pocket editionnal a szervereiken akkor az egadta semmi bajod nem lehet....
Ha nem vagy még tag, regisztrálj! 2 perc az egész.