Tech
700万Minecraft玩家的密码被黑
一个颇受欢迎的 Minecraft 网上社区的700多万用户的密码信息被黑客窃取了,并且开始在暗网上进行兜售。那个网上社区就是Lifeboat,他们在数据被窃取的三个月之后才把这个坏消息告诉用户们。
Lifeboat在手机端运营着多个Minecraft口袋版的服务器。服务器可以让来自世界各地的玩家使用不同移动设备上的不同版本的 Minecraft 一起进行游戏。
[-]
网络安全研究员 Troy Hunt (以下称为Hunt)表示,这个社区已经被黑客入侵,并且盗走了700万用户的账户信息。Hunt 拥有自己的网站“Have I Been Pwned”,用户在这个网站的搜索工具栏里输入自己的电子邮件地址,就可以查询到他们自己的账户是否在某些信息泄露事件中已经被盗走了。
联系 Hunt 的是一位可靠的知情人士,这位匿名人士说他在暗网上发现了Lifeboat 社区的用户数据正在被兜售。Hunt 核实了数据的真实性,并将这些数据上传到自己的网站上,供用户查看自己是否在被黑的账户名单里。
Lifeboat 对用户信息泄露的应对措施备受指责。这个网站确认数据是在一月被窃取的,这是三个月之前的事了,而他们现在才刚刚开始通知他们的用户,网站数据已经黑这件事情。
[-]
被问到这件事情的时候,这家公司的回应是:“我们研究后得出结论,最好的办法就是不对外声张,悄悄的强制所有用户重新设置他们的密码,这样就不会让黑客有时间进行反应了。”
Lifeboat 没有存储用户的个人数据,比如姓名、地址、年龄或支付信息等等。黑客获得的数据仅仅是电子邮件地址和登录密码。但是,这些信息也是非常宝贵的,因为很多人在许多不同的网站上都使用同一个密码。黑客可以使用这些数据进入用户的社交媒体账户、购物网站账户甚至网银账户。然而 Lifeboat 的决定,使这些账户的拥有者都蒙在鼓里,没有做出应有的补救行动。
[-]
Hunt在一篇博客中写道:“当读到 Lifeboat 的回应时我震惊了,就是说这个网站从一开始就知道这次数据泄露,并且选择了将整个事件掩盖起来!?一些组织被黑客入侵但是管理者却完全不知情的状况我见的很多了,但是看到一些人明明已经知道700万账户的数据被窃取了,却仍然故意保持沉默,没有告诉任何一位用户,真是让我无言以对了。”
如果这家网站在那个时候就告知自己的用户整个情况,那么用户们就应该能够采取行动在所有相关的网站上修改自己的密码信息。为了不惊动入侵的黑客而将整个事件掩盖起来的做法是不负责任并且非常危险的行为。这家公司在网站的服务页面的安全指南里写着:“我们推荐较短的但是不容易被猜到的密码。”
[-]
不论使用的服务器是否有保护措施,人们都应该始终使用长密码。Hunt 指出人们一般都在不同网站上使用同一个密码,当一个网站的数据被窃取,这个网站就成了不法分子的“网上银行”。
这700万用户的信息已经放在 Have I Been Pwned 网站上,当数据准备妥当,Lifeboat 网站所泄露的信息就都可以在网站上查到了,用户只需要在查询栏输入他们的电子邮件地址,就可以知道自己是否包含在被泄露的账户名单当中。
Lifeboat 的这次被黑事件和 Hunt 刚刚遇到的另一次信息泄露事件形成了鲜明对比。就在上周,游戏论坛TruckersMP被黑,网站中的80000个用户的数据立刻被上传到 Hunt 的网站上供用户查询。这次数据泄露之后,TruckersMP的运维人员主动联系了Hunt将泄露数据的账户列表上传到了数据库中,方便网站的用户检查自己的账户安全。
[-]
Hunt 称赞 TruckersMP 运维团队对这次事件的应对非常及时,在黑客窃取网站信息30分钟之后运维团队就发现系统被入侵了,这之后仅过了2小时9分钟他们就对用户发布了通知。而 Lifeboat 则将这个过程拖了3个月,现在仍然没有做出任何明显的努力来帮助他的用户们避免损失。
[-]
本文译自 digitaljournal,由 透明的猫 编辑发布。