Reddit द्वारा पोस्ट किया गया एक आधिकारिक अपडेट पता चलता है कि एक हमलावर ने कंपनी के नेटवर्क पर कुछ सिस्टम में सेंध लगाई और उपयोगकर्ता डेटा चुरा लिया। चोरी में 2007 डेटाबेस बैकअप शामिल था जिसमें "कुछ" वर्तमान ईमेल पते के साथ नमकीन हैशेड पासवर्ड शामिल थे। Reddit वर्तमान में कानून प्रवर्तन के साथ काम कर रहा है क्योंकि वे उल्लंघन की जांच कर रहे हैं।
Reddit के अनुसार, लीक हुए डेटाबेस बैकअप में 2005 से मई 2007 तक साइट के लॉन्च के बीच उपयोग किए गए उपयोगकर्ता नाम और नमकीन हैशेड पासवर्ड शामिल हैं। इसमें ईमेल पते, सार्वजनिक सामग्री और निजी संदेश भी शामिल हैं। इस बैकअप में मौजूद डेटा वाले Reddit उपयोगकर्ताओं को उनके पासवर्ड रीसेट करने के लिए सूचित किया जाएगा। जिन लोगों ने मई 2007 के बाद Reddit खाता बनाया, वे उल्लंघन के इस विशिष्ट भाग से प्रभावित नहीं होंगे।
अनुशंसित वीडियो
यदि आप "हैश" शब्द से परिचित नहीं हैं, तो हैशिंग एक पासवर्ड को एक निश्चित लंबाई वाले मान में परिवर्तित कर देता है जिसे बहुत अधिक कंप्यूटिंग शक्ति के बिना उलटा नहीं किया जा सकता है। "सैल्टिंग" का अर्थ है पासवर्ड में एक अतिरिक्त, यादृच्छिक गुप्त मान डालना ताकि हैकर्स शब्दकोश हमलों का उपयोग न कर सकें। सर्वर प्रत्येक पासवर्ड के लिए एक नया बेतरतीब ढंग से उत्पन्न नमक बनाते हैं और क्रिप्टोग्राफी का उपयोग करके उन्हें एक साथ हैश करते हैं।
संबंधित
- मैसीज़ ने पुष्टि की है कि हैकर्स ने उसकी वेबसाइट से ग्राहक डेटा चुरा लिया है
रेडिट ने यह भी कहा कि हमलावर को ईमेल डाइजेस्ट तक पहुंच प्राप्त हुई [email protected] 3 जून से 17 जून 2018 के बीच भेजा गया। जैसा कि ऊपर दिखाया गया है, डाइजेस्ट उपयोगकर्ता नाम को ईमेल पते से जोड़ता है और सब्सक्राइब किए गए सबरेडिट्स को भी हाइलाइट करता है। जो लोग अपने ईमेल पते को अपने Reddit खाते से संबद्ध नहीं करते हैं और/या अपने खाते में "ईमेल डाइजेस्ट" विकल्प को अनचेक करते हैं, वे प्रभावित नहीं होते हैं।
फिर भी, यह सब नहीं है. क्योंकि हैकर के पास Reddit के स्टोरेज सिस्टम तक पहुंच थी, इसलिए हमलावर ने स्रोत कोड, आंतरिक लॉग, कॉन्फ़िगरेशन फ़ाइलें और कर्मचारी कार्यक्षेत्र फ़ाइलें प्राप्त कीं। अंतिम-उपयोगकर्ता पक्ष पर, 2007 डेटाबेस और ईमेल डाइजेस्ट हमलावर के खजाने का स्रोत थे।
हमलावर ने Reddit में कैसे घुसपैठ की? Reddit के क्लाउड और सोर्स कोड होस्टिंग प्रदाताओं से जुड़े "कुछ" समझौता किए गए कर्मचारी खातों के माध्यम से। इन खातों को एसएमएस मैसेजिंग के माध्यम से दो-कारक प्रमाणीकरण द्वारा संरक्षित किया गया था, जो क्रेडेंशियल सत्यापन का सबसे सुरक्षित रूप नहीं है। Reddit हर किसी को चेहरे की पहचान, फिंगरप्रिंट स्कैनिंग जैसे टोकन-आधारित दो-कारक प्रमाणीकरण की ओर बढ़ने का सुझाव देता है USB-आधारित कुंजियाँ.
“हालाँकि यह एक गंभीर हमला था, हमलावर को Reddit सिस्टम तक लिखित पहुँच नहीं मिली; उन्हें कुछ सिस्टमों तक केवल-पढ़ने के लिए पहुंच प्राप्त हुई जिसमें बैकअप डेटा, स्रोत कोड और अन्य लॉग शामिल थे, ”कंपनी की रिपोर्ट। “वे Reddit जानकारी को बदलने में सक्षम नहीं थे, और हमने घटना के बाद से आगे कदम उठाए हैं सभी उत्पादन रहस्यों और एपीआई कुंजियों को लॉक करें और घुमाएं, और हमारी लॉगिंग और निगरानी को बढ़ाएं सिस्टम।"
रेडिट ने 19 जून को उल्लंघन का पता लगाया, जो 14 जून से 18 जून के बीच हुआ था। उल्लंघन का पता चलने के बाद, Reddit ने अपने क्लाउड और सोर्स कोड होस्टिंग साझेदारों के साथ काम किया ताकि यह समझा जा सके कि हमलावर ने क्या एक्सेस किया है। कंपनी ने कानून प्रवर्तन को भी हैक की सूचना दी और उपयोगकर्ता खातों को संदेश भेजना शुरू कर दिया। Reddit ने अपने नेटवर्क को बेहतर ढंग से सुरक्षित करने के लिए अतिरिक्त कदम भी उठाए।
Reddit सुझाव देता है कि उपयोगकर्ता अपने पासवर्ड पर पुनर्विचार करें यदि वे साइट और/या अन्य जगहों पर वर्षों से उपयोग में हैं। Reddit साइट की दो-कारक प्रमाणीकरण सुविधा का लाभ उठाने के लिए मजबूत, अद्वितीय पासवर्ड और प्रमाणक ऐप्स का उपयोग करने का भी सुझाव देता है।
संपादकों की सिफ़ारिशें
- हैकरों ने लाखों एसर ग्राहकों का निजी डेटा चुरा लिया
- डेटा उल्लंघन से Quora पर करीब 100 मिलियन उपयोगकर्ता प्रभावित हुए हैं
अपनी जीवनशैली को उन्नत करेंडिजिटल ट्रेंड्स पाठकों को सभी नवीनतम समाचारों, मजेदार उत्पाद समीक्षाओं, व्यावहारिक संपादकीय और एक तरह की अनूठी झलक के साथ तकनीक की तेज़ गति वाली दुनिया पर नज़र रखने में मदद करता है।
