Ein offizielles Update von Reddit enthüllt, dass ein Angreifer in einige Systeme im Netzwerk des Unternehmens eingebrochen ist und Benutzerdaten gestohlen hat. Der Diebstahl bestand aus einem Datenbank-Backup aus dem Jahr 2007, das gesalzene Hash-Passwörter sowie „einige“ aktuelle E-Mail-Adressen enthielt. Reddit arbeitet derzeit mit den Strafverfolgungsbehörden zusammen, um den Verstoß zu untersuchen.
Laut Reddit enthält das geleakte Datenbank-Backup Benutzernamen und gesalzene Hash-Passwörter, die zwischen dem Start der Website im Jahr 2005 und Mai 2007 verwendet wurden. Dazu gehören auch E-Mail-Adressen, öffentliche Inhalte und private Nachrichten. Reddit-Benutzer mit in diesem Backup enthaltenen Daten werden benachrichtigt, ihre Passwörter zurückzusetzen. Diejenigen, die nach Mai 2007 ein Reddit-Konto erstellt haben, sind von diesem speziellen Teil des Verstoßes nicht betroffen.
Empfohlene Videos
Wenn Sie mit dem Begriff „Hash“ nicht vertraut sind: Beim Hashing wird ein Passwort in einen Wert mit fester Länge umgewandelt, der ohne viel Rechenleistung nicht rückgängig gemacht werden kann. „Salting“ bedeutet, einem Passwort einen zusätzlichen, zufälligen geheimen Wert hinzuzufügen, damit Hacker keine Wörterbuchangriffe ausführen können. Server erstellen für jedes Passwort einen neuen, zufällig generierten Salt und hashen sie mithilfe von Kryptografie.
Verwandt
- Macy’s bestätigt, dass Hacker Kundendaten von seiner Website gestohlen haben
Reddit sagte auch, der Angreifer habe sich Zugang zu E-Mail-Zusammenfassungen verschafft [email protected] gesendet zwischen dem 3. und 17. Juni 2018. Wie oben gezeigt, verbinden die Digests Benutzernamen mit E-Mail-Adressen und heben auch abonnierte Subreddits hervor. Diejenigen, die ihre E-Mail-Adresse nicht mit ihrem Reddit-Konto verknüpfen und/oder die Option „E-Mail-Digests“ in ihrem Konto deaktiviert haben, sind nicht betroffen.
Doch das ist noch nicht alles. Da der Hacker Lesezugriff auf die Speichersysteme von Reddit hatte, erlangte der Angreifer Quellcode, interne Protokolle, Konfigurationsdateien und Dateien im Arbeitsbereich der Mitarbeiter. Auf der Endbenutzerseite waren die Datenbank- und E-Mail-Zusammenfassungen von 2007 die Quelle des Schatzes des Angreifers.
Wie hat der Angreifer Reddit infiltriert? Durch „einige“ kompromittierte Mitarbeiterkonten, die mit den Cloud- und Quellcode-Hosting-Anbietern von Reddit verknüpft sind. Diese Konten wurden durch die Zwei-Faktor-Authentifizierung per SMS-Nachrichten geschützt, was nicht die sicherste Form der Anmeldedatenüberprüfung darstellt. Reddit empfiehlt jedem, auf tokenbasierte Zwei-Faktor-Authentifizierung wie Gesichtserkennung, Fingerabdruckscan usw. umzusteigen USB-basierte Schlüssel.
„Obwohl es sich um einen schwerwiegenden Angriff handelte, erlangte der Angreifer keinen Schreibzugriff auf Reddit-Systeme; Sie erhielten schreibgeschützten Zugriff auf einige Systeme, die Sicherungsdaten, Quellcode und andere Protokolle enthielten“, berichtet das Unternehmen. „Sie waren nicht in der Lage, Reddit-Informationen zu ändern, und wir haben seit dem Vorfall Schritte unternommen, um weitere Maßnahmen zu ergreifen Sperren und Rotieren aller Produktionsgeheimnisse und API-Schlüssel sowie zur Verbesserung unserer Protokollierung und Überwachung Systeme.“
Reddit entdeckte den Verstoß am 19. Juni, der zwischen dem 14. und 18. Juni stattfand. Nachdem Reddit den Verstoß entdeckt hatte, arbeitete Reddit mit seinen Cloud- und Quellcode-Hosting-Partnern zusammen, um herauszufinden, worauf der Angreifer zugegriffen hatte. Das Unternehmen meldete den Hack auch den Strafverfolgungsbehörden und begann, Benutzerkonten zu benachrichtigen. Reddit hat zusätzliche Schritte unternommen, um sein Netzwerk besser zu sichern.
Reddit empfiehlt Benutzern, ihre Passwörter zu überdenken, wenn sie jahrelang auf der Website und/oder anderswo verwendet wurden. Reddit empfiehlt außerdem die Verwendung starker, eindeutiger Passwörter und Authentifizierungs-Apps, um die Zwei-Faktor-Authentifizierungsfunktion der Website zu nutzen.
Empfehlungen der Redaktion
- Hacker haben gerade persönliche Daten von Millionen Acer-Kunden gestohlen
- Quora ist von einem Datenschutzverstoß betroffen, der rund 100 Millionen Nutzer betrifft
Werten Sie Ihren Lebensstil aufDigital Trends hilft Lesern mit den neuesten Nachrichten, unterhaltsamen Produktrezensionen, aufschlussreichen Leitartikeln und einzigartigen Einblicken, den Überblick über die schnelllebige Welt der Technik zu behalten.
