新闻链接：http://bobao.360.cn/news/detail/2990.html
   新闻时间：2016-04-29 10:18:24
   新闻正文：据了解,2016年初,Minecraft的“Lifeboat”社区遭到了黑客的攻击,并泄漏了大量数据,其中还包括七百多万名用户的帐号信息。

本周二,安全研究专家Troy Hunt在推特上发表推文表示,他已经将一月份泄漏出来的上百万名用户的数据上传至了他的个人网站中,用户可以登录这个网站来查看自己的信息是否已经泄漏了出去。与之前一样,所有在他网站中的数据全部来源于其他网站,但是这些泄漏出来的数据是可以通过其他的方式公开获取到的。

另一名安全研究人员也通过推特表示,此次泄漏的数据包括电子邮件地址以及用户账号的弱密码(虽然这些密码已经经过了哈希处理)。这也就意味着,攻击者可以轻松地破解这些哈希密码。而且,用户很有可能在其他的网络服务账号中也使用了相同的密码,这也就使得此次数据泄漏事件的影响范围更加大了。

Lifeboat社区

Lifeboat系统只会保存用户的用户名,哈希密码,以及电子邮箱地址,这也就意味着,在此次数据泄漏事件中,不会泄漏用户其他的数据。

但有趣的是,Lifeboat似乎并没有告知用户他们的数据库发生了数据泄漏,而且也没有向用户发出任何关于重置登录密码的通知。然而,早在今年的一月份,Lifeboat就已经发表声明称他们已经确认了此次数据泄漏事件,并且正在着手解决这一问题。这也暗示着,他们很可能已经在攻击者毫不知情的情况下悄悄地将用户的密码重置了,以防止攻击者利用这些泄漏数据对用户造成更多的损失。

除此之外,Lifeboat的一名工作人员还表示,目前还没有用户在此次数据泄漏事件中遭受了直接的经济损失。但是,安全研究专家认为,任何人都可以直接在互联网中搜索到用户的这些数据,所以无论从哪个角度出发,至少泄漏的账户密码是会给用户带来一定的安全风险的。

Grayson Milbourne是Webroot公司高级情报部门的主管,他在一封发给SecurityWeek的电子邮件中说到,此次攻击事件再一次告诉我们,用户应该在不同的账户中使用不同密码的重要性。除此之外他还提到,实际上,当用户在注册Lifeboat的账号时,Lifeboat本身也建议用户使用一些比较难猜测到的密码。

Milbouren在电子邮件中写到:“既然Lifeboat只会保存用户的登录名,哈希密码,以及电子邮箱地址,那么泄漏的数据集就十分有限了。用户的密码是经过哈希处理的,但是其安全程度却远远不够,因为Lifeboat使用的是可被破解的MD5哈希。此次事件也足以证明,在不同的网站中使用不同的密码,是多么的重要。如果我们不这样做,那么当某个网站发生了数据泄漏之后,我们所有其他的账号将会全部处于危险之中。如果大家认为这样做有一定难度的话,那我建议至少用户需要确保他们的电子邮箱密码使用的是单独的密码,这个密码不要与其他在线服务账号的密码相同。”

我们正在积极与Lifeboat的技术维护团队取得联系,并希望他们就此次数据泄漏事件予以回应,当我们得到了最新消息之后,我们会在第一时间将这些信息提供给用户。

[课程]Linux pwn 探索篇！