攻撃者は侵害された従業員アカウントを介して Reddit ユーザーデータを盗んだ

GongTo/シャッターストック

Redditによって投稿された公式アップデート 攻撃者が会社のネットワーク上のいくつかのシステムに侵入し、ユーザー データを盗んだことが明らかになりました。 盗難の内容は、ソルト処理されたハッシュ化されたパスワードと「一部の」現在の電子メール アドレスを含む 2007 年のデータベース バックアップで構成されていました。 Reddit は現在、法執行機関と協力してこの侵害を調査しています。

Reddit によると、漏洩したデータベースのバックアップには、2005 年のサイト開設から 2007 年 5 月までに使用されたユーザー名とソルト付きハッシュ パスワードが含まれています。 これには、電子メール アドレス、公開コンテンツ、プライベート メッセージも含まれます。 このバックアップにデータが含まれている Reddit ユーザーには、パスワードをリセットするように通知されます。 2007 年 5 月以降に Reddit アカウントを作成したユーザーは、この侵害の特定部分の影響を受けません。

おすすめ動画

「ハッシュ」という用語に詳しくない方のために説明しておきますが、ハッシュとは、パスワードを固定長の値に変換するもので、十分な計算能力がなければ元に戻すことはできません。 「ソルティング」とは、ハッカーが辞書攻撃を使用できないように、追加のランダムな秘密値をパスワードに投入することを意味します。 サーバーは、パスワードごとにランダムに生成された新しいソルトを作成し、暗号化を使用してそれらをハッシュします。

関連している

  • メイシーズ、ハッカーが同社ウェブサイトから顧客データを盗んだことを認める

Reddit は、攻撃者が次の電子メール ダイジェストにアクセスしたとも述べています。 [email protected] 2018 年 6 月 3 日から 6 月 17 日までに送信されました。 上に示したように、ダイジェストはユーザー名を電子メール アドレスに結び付け、購読済みのサブレディットも強調表示します。 自分の電子メール アドレスを Reddit アカウントに関連付けていない人や、アカウントの「電子メール ダイジェスト」オプションのチェックを外している人は影響を受けません。

それでも、それだけではありません。 ハッカーは Reddit のストレージ システムへの読み取りアクセス権を持っていたため、ソース コード、内部ログ、構成ファイル、従業員のワークスペース ファイルを入手しました。 エンドユーザー側では、2007 年のデータベースと電子メールのダイジェストが攻撃者の宝の山のソースでした。

攻撃者はどのようにして Reddit に侵入したのでしょうか? Reddit のクラウドおよびソース コード ホスティング プロバイダーに関連付けられた「いくつかの」侵害された従業員アカウントを通じて。 これらのアカウントは、SMS メッセージングによる 2 要素認証によって保護されていましたが、これは資格情報検証の最も安全な形式ではありません。 Redditは、顔認識、指紋スキャンなどのトークンベースの2要素認証に移行することを全員に提案しています。 USB ベースのキー.

「これは深刻な攻撃でしたが、攻撃者は Reddit システムへの書き込みアクセス権を取得しませんでした。 彼らは、バックアップ データ、ソース コード、その他のログを含む一部のシステムへの読み取り専用アクセスを取得しました」と同社は報告しています。 「彼らはRedditの情報を変更することはできなかったので、私たちはイベント以来、さらなる対策を講じてきました。 すべてのプロダクション シークレットと API キーをロックダウンしてローテーションし、ロギングとモニタリングを強化します。 システム。」

Reddit は、6 月 14 日から 6 月 18 日までの間に発生したこの侵害を 6 月 19 日に発見しました。 この侵害を発見した後、Reddit はクラウドおよびソース コード ホスティング パートナーと協力して、攻撃者が何にアクセスしたかを把握しました。 同社はまた、ハッキングを法執行機関に報告し、ユーザーアカウントにメッセージを送信し始めた。 Reddit は、ネットワークの安全性を高めるために追加の措置を講じました。

Reddit は、サイトや他の場所でパスワードを何年も使用している場合は、パスワードを再考することをユーザーに勧めています。 Reddit はまた、サイトの 2 要素認証機能を活用するために、強力でユニークなパスワードと認証アプリを使用することを提案しています。

編集者のおすすめ

  • ハッカーが数百万の Acer 顧客から個人データを盗んだ
  • Quoraがデータ侵害に見舞われ、約1億人のユーザーに影響

ライフスタイルをアップグレードするDigital Trends は、読者が最新ニュース、楽しい製品レビュー、洞察力に富んだ社説、ユニークなスニーク ピークをすべて提供して、ペースの速いテクノロジーの世界を監視するのに役立ちます。

カテゴリ

最近

Google Nexus One の最初の週の売上は期待外れでしたか?

Google Nexus One の最初の週の売上は期待外れでしたか?

モバイル分析会社 フラリー は、Google の新製品の初週売上の推定を発表しました。 ネク...

火星のヘリコプターは地上を離れたが、まだ飛行していない

火星のヘリコプターは地上を離れたが、まだ飛行していない

NASA の火星探査機ミッションで最も期待されている部分の 1 つは、実際には探査機とは何の関...

核を調査して居住可能な系外惑星を見つける方法

核を調査して居住可能な系外惑星を見つける方法

UBCO のブレンダン・ダイク氏は、惑星形成に関する地質学の専門知識を活用して、生命が存在する...

Privacy2025 © Tech Tips & Reviews. ALL Rights Reserved.

Tech Tips & Reviews