Mais de 7 milhões de contas da comunidade Lifeboat do jogo Minecraft foram hackeadas por conta daquela que parece ser uma das mais vergonhosas falhas de segurança de que já se ouviu falar. Como se não bastasse as palavras-chave dos usuários estarem protegidas por um fraquíssimo hash MD5, o provedor do serviço recomendou que os jogadores utilizassem senhas curtas e ainda não divulgou o ocorrido mesmo três meses depois do vazamento das informações.
O Lifeboat costuma fornecer servidores para ambientes customizados para partidas multiplayer do Minecraft Pocket Edition, a versão para smartphones do game. Dessa forma, o serviço é utilizado para permitir a realização de modos de jogo diferenciados, como Capture a Bandeira e Sobrevivência, por exemplo. Para participar da comunidade, os usuários do jogo original se conectam a um dos servers da empresa e regiram seu nome de usuário, email e senha.
Membros da comunidade Lifeboat de Minecraft tiveram nomes de usuário, email e senhas descobertos por invasores
O hack foi revelado pelo pesquisador de segurança Troy Hunt, que disse ter recebido os dados de um contato que está ativamente envolvido na venda desse tipo de informações. Os detalhes foram enviados para o site de notificações de brechas do estudioso, o “Have I Been Pwned?”, onde os usuários poderão verificar se suas contas foram comprometidas. Os detalhes incluem emails e senhas fracamente mascaradas, que podem ser facilmente decodificadas por hackers.
Roubando doces de crianças
Segundo Hunt, algumas das senhas “hasheadas” descobertas eram tão simples que sua versão desmascarada podia ser encontrada simplesmente por meio de uma pesquisa com o código MD5 no Google. Para piorar a situação, o guia de inicialização do Lifeboat recomenda que seus usuários criem “senhas curtas, mas difíceis de adivinhar”, o que seria justificado pelo fato do serviço não ser tão importante quanto “acesso bancário online”.
Palavras-chave mais curtas são particularmente pouco resistentes a um método de decodificação por “força bruta”, no qual um programa experimenta automaticamente todas as combinações possíveis de números, letras e caracteres especiais até achar a senha correta. Ao aconselhar os jogadores a usar códigos curtos, o Lifeboat deixou seus usuários vulneráveis a esse método básico de invasão.
Passwords were also all MD5 with no salt either so very close to useless cryptographic storage
— Troy Hunt (@troyhunt) 26 de abril de 2016
Entrando em contato com usuários do serviço, o site Motherboard relatou que o serviço sequer informou seus usuários do ocorrido. “É ruim eles terem sido invadidos, em primeiro lugar, mas é pior ainda não terem nos falado sobre isso”, afirmou um jogador norte-americano.
Ações silenciosas ou mais erros?
Contatado pela publicação, um representante do Lifeboat afirmou estar ciente da falha há algum tempo. “Quando isso aconteceu, no começo de janeiro, decidimos que a melhor coisa para nossos usuários era silenciosamente forçar um reset das senhas sem deixar que os hackers soubessem que tinham pouco tempo para agir. Fizemos isso em algumas semanas. Não guardamos dados pessoais (nome, endereços e idade) sobre os jogadores, então isso não vazou”, afirmou.
De acordo com o Motherboard, o serviço disse não ter sido informado sobre usuários que foram prejudicados pela invasão, mas não esclareceu o motivo de não ter revelado a ocorrência após o citado reset. Os jogadores entrevistados dizem não ter recebido qualquer aviso para que trocassem suas palavras-chave até agora. O representante do Lifeboat afirma que a companhia desde então passou a usar um algoritmo mais forte do que o MD5.
Empresas deveriam ser obrigadas a informar imediatamente seus usuários sobre invasões que podem comprometer a segurança de suas contas em serviços online? Comente no Fórum do TecMundo
Fontes