A Reddit által közzétett hivatalos frissítés kiderül, hogy egy támadó betört a cég hálózatának néhány rendszerébe, és ellopta a felhasználói adatokat. A lopás egy 2007-es adatbázis biztonsági másolatból állt, amely kivonatolt jelszavakat és „néhány” aktuális e-mail címet tartalmazott. A Reddit jelenleg a bűnüldöző szervekkel dolgozik, miközben kivizsgálják a jogsértést.
A Reddit szerint a kiszivárgott adatbázis-mentés olyan felhasználóneveket és kivonatolt jelszavakat tartalmaz, amelyeket az oldal 2005-ös és 2007 májusa közötti indulása között használtak. E-mail címeket, nyilvános tartalmakat és privát üzeneteket is tartalmaz. A biztonsági mentésben szereplő adatokkal rendelkező Reddit-felhasználók értesítést kapnak a jelszavak visszaállításáról. Azokat, akik 2007 májusa után hoztak létre Reddit-fiókot, a jogsértés ezen része nem érinti.
Ajánlott videók
Ha nem ismeri a „hash” kifejezést, a kivonatolás a jelszót egy rögzített hosszúságú értékké alakítja, amelyet nem lehet megfordítani nagy számítási teljesítmény nélkül. A „sózás” azt jelenti, hogy egy további, véletlenszerű titkos értéket dobnak a jelszóba, hogy a hackerek ne tudjanak szótári támadásokat használni. A szerverek minden jelszóhoz új, véletlenszerűen generált sót hoznak létre, és titkosítással összevonják azokat.
Összefüggő
- A Macy’s megerősítette, hogy hackerek lopták el az ügyfelek adatait a webhelyéről
A Reddit azt is közölte, hogy a támadó hozzáfért az e-mailek kivonataihoz [email protected] 2018. június 3. és június 17. között elküldve. A fentiek szerint a kivonatok összekapcsolják a felhasználóneveket az e-mail címekkel, és kiemelik a feliratkozott alredditeket is. Azokat, akik nem társítják e-mail címüket Reddit-fiókjukhoz, és/vagy törölték a fiókjukban az „e-mail kivonatok” opciót, ez nem érinti.
Mégis, ez még nem minden. Mivel a hacker olvasási hozzáféréssel rendelkezett a Reddit tárolórendszereihez, a támadó forráskódot, belső naplókat, konfigurációs fájlokat és alkalmazotti munkaterület-fájlokat szerzett meg. A végfelhasználói oldalon a 2007-es adatbázis és az e-mail kivonatok képezték a támadó kincsesbánya forrását.
Hogyan szivárgott be a támadó a Redditbe? A Reddit felhő- és forráskód-tárhelyszolgáltatóihoz kötődő „néhány” feltört alkalmazotti fiókon keresztül. Ezeket a fiókokat kétfaktoros hitelesítés védte SMS-üzenetekkel, ami nem a legbiztonságosabb hitelesítési forma. A Reddit azt javasolja, hogy mindenki térjen át a token alapú kéttényezős hitelesítésre, mint például az arcfelismerés, az ujjlenyomat-szkennelés és USB alapú kulcsok.
„Bár ez komoly támadás volt, a támadó nem kapott írási hozzáférést a Reddit rendszerekhez; csak olvasható hozzáférést kaptak néhány rendszerhez, amelyek biztonsági mentési adatokat, forráskódot és egyéb naplókat tartalmaztak” – számol be a cég. „Nem tudták megváltoztatni a Reddit-információkat, és az esemény óta lépéseket tettünk annak érdekében zároljuk és forgatjuk az összes gyártási titkot és API-kulcsot, valamint javítsuk naplózásunkat és felügyeletünket rendszerek.”
A Reddit június 19-én fedezte fel a jogsértést, amely június 14. és június 18. között történt. Miután felfedezte a jogsértést, a Reddit együttműködött felhő- és forráskód-szolgáltató partnereivel, hogy megértsék, mihez férhetett hozzá a támadó. A cég a feltörést a bűnüldöző szerveknek is jelentette, és üzeneteket küldeni kezdett a felhasználói fiókoknak. A Reddit további lépéseket tett a hálózatának jobb biztonsága érdekében.
A Reddit azt javasolja a felhasználóknak, hogy gondolják át jelszavaikat, ha évek óta használják az oldalon és/vagy máshol. A Reddit erős, egyedi jelszavak és hitelesítő alkalmazások használatát is javasolja, hogy kihasználja a webhely kéttényezős hitelesítési funkcióját.
Szerkesztői ajánlások
- A hackerek éppen az Acer-ügyfelek millióitól lopták el a személyes adatokat
- A Quorát mintegy 100 millió felhasználót érintő adatszivárgás érte
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.
