Официална актуализация, публикувана от Reddit разкрива, че нападател е проникнал в няколко системи в мрежата на компанията и е откраднал потребителски данни. Кражбата се състоеше от резервно копие на база данни от 2007 г., съдържащо солирани хеширани пароли заедно с „някои“ текущи имейл адреси. В момента Reddit работи с правоприлагащите органи, докато те разследват нарушението.
Според Reddit изтеклото архивиране на база данни включва потребителски имена и хеширани пароли, използвани между пускането на сайта през 2005 г. до май 2007 г. Той също така включва имейл адреси, публично съдържание и лични съобщения. Потребителите на Reddit с данни, съдържащи се в това архивиране, ще бъдат уведомени да нулират своите пароли. Тези, които са създали акаунт в Reddit след май 2007 г., не са засегнати в тази конкретна част от нарушението.
Препоръчани видеоклипове
Ако не сте запознати с термина „хеш“, хеширането преобразува парола в стойност с фиксирана дължина, която не може да бъде обърната без много изчислителна мощност. „Осоляване“ означава хвърляне на допълнителна произволна секретна стойност в парола, така че хакерите да не могат да използват речникови атаки. Сървърите създават нова произволно генерирана сол за всяка парола и ги хешират заедно с помощта на криптография.
Свързани
- Macy’s потвърждава, че хакери са откраднали клиентски данни от уебсайта им
Reddit също така каза, че нападателят е получил достъп до обобщени имейли от [email protected] изпратени между 3 юни и 17 юни 2018 г. Както е показано по-горе, дайджестите свързват потребителски имена с имейл адреси и също така подчертават абонирани subreddits. Онези, които не свържат имейл адреса си с акаунта си в Reddit и/или не са отметнали опцията „имейл дайджест“ в акаунта си, не са засегнати.
И все пак това не е всичко. Тъй като хакерът е имал достъп за четене до системите за съхранение на Reddit, нападателят е получил изходен код, вътрешни регистрационни файлове, конфигурационни файлове и файлове на работното пространство на служителите. От страна на крайния потребител, базата данни от 2007 г. и обобщените имейли бяха източникът на съкровището на нападателя.
Как нападателят е проникнал в Reddit? Чрез „няколко“ компрометирани акаунта на служители, свързани с облака на Reddit и хостинг доставчиците на изходния код. Тези акаунти бяха защитени чрез двуфакторно удостоверяване чрез SMS съобщения, което не е най-сигурната форма за проверка на идентификационните данни. Reddit предлага на всички да преминат към базирано на токени двуфакторно удостоверяване като лицево разпознаване, сканиране на пръстови отпечатъци и USB базирани ключове.
„Въпреки че това беше сериозна атака, нападателят не получи достъп за запис до системите Reddit; те получиха достъп само за четене до някои системи, които съдържаха резервни данни, изходен код и други регистрационни файлове“, съобщава компанията. „Те не успяха да променят информацията в Reddit и след събитието ние предприехме стъпки за по-нататъшно развитие заключете и завъртете всички производствени тайни и API ключове и за подобряване на нашето регистриране и наблюдение системи.”
Reddit откри пробива на 19 юни, който се случи между 14 и 18 юни. След като откри пробива, Reddit работи със своите партньори за хостинг в облака и изходния код, за да разбере до какво е осъществил достъп нападателят. Компанията също така съобщи за хака на правоприлагащите органи и започна да изпраща съобщения на потребителски акаунти. Reddit предприе допълнителни стъпки и за по-добра защита на мрежата си.
Reddit предлага на потребителите да преразгледат своите пароли, ако са били използвани от години на сайта и/или другаде. Reddit също предлага използването на силни, уникални пароли и приложения за удостоверяване, за да се възползвате от функцията за двуфакторна автентификация на сайта.
Препоръки на редакторите
- Хакерите току-що откраднаха лични данни от милиони клиенти на Acer
- Quora е засегната от нарушение на данните, засягащо около 100 милиона потребители
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
