Een officiële update geplaatst door Reddit onthult dat een aanvaller heeft ingebroken in een aantal systemen op het netwerk van het bedrijf en gebruikersgegevens heeft gestolen. De diefstal bestond uit een databaseback-up uit 2007 met gezouten gehashte wachtwoorden en “enkele” huidige e-mailadressen. Reddit werkt momenteel samen met wetshandhavers om de inbreuk te onderzoeken.
Volgens Reddit bevat de gelekte databaseback-up gebruikersnamen en gezouten gehashte wachtwoorden die zijn gebruikt tussen de lancering van de site in 2005 en mei 2007. Het omvat ook e-mailadressen, openbare inhoud en privéberichten. Reddit-gebruikers met gegevens in deze back-up krijgen een melding dat ze hun wachtwoord opnieuw moeten instellen. Degenen die na mei 2007 een Reddit-account hebben aangemaakt, worden niet getroffen door dit specifieke deel van de inbreuk.
Aanbevolen video's
Als u niet bekend bent met de term ‘hash’, zet hashing een wachtwoord om in een waarde met een vaste lengte die niet kan worden teruggedraaid zonder veel rekenkracht. ‘Salten’ betekent dat er een extra, willekeurige geheime waarde aan een wachtwoord wordt toegevoegd, zodat hackers geen woordenboekaanvallen kunnen gebruiken. Servers creëren voor elk wachtwoord een nieuw willekeurig gegenereerde salt en hashen deze samen met behulp van cryptografie.
Verwant
- Macy's bevestigt dat hackers klantgegevens van zijn website hebben gestolen
Reddit zei ook dat de aanvaller toegang kreeg tot e-mailsamenvattingen van [email protected] verzonden tussen 3 juni en 17 juni 2018. Zoals hierboven weergegeven, verbinden de samenvattingen gebruikersnamen met e-mailadressen en markeren ze ook geabonneerde subreddits. Degenen die hun e-mailadres niet aan hun Reddit-account koppelen en/of de optie “e-mailoverzichten” in hun account hebben uitgeschakeld, worden niet beïnvloed.
Maar dat is nog niet alles. Omdat de hacker toegang had tot de opslagsystemen van Reddit, kreeg de aanvaller broncode, interne logs, configuratiebestanden en werkruimtebestanden van medewerkers in handen. Aan de kant van de eindgebruiker vormden de database en e-mailsamenvattingen uit 2007 de bron van de schatkamer van de aanvaller.
Hoe infiltreerde de aanvaller Reddit? Via “een paar” gecompromitteerde werknemersaccounts die zijn gekoppeld aan de cloud- en broncodehostingproviders van Reddit. Deze accounts werden beschermd door tweefactorauthenticatie via sms-berichten, wat niet de veiligste vorm van inlogverificatie is. Reddit suggereert dat iedereen overgaat op tokengebaseerde tweefactorauthenticatie, zoals gezichtsherkenning, vingerafdrukscannen en USB-gebaseerde sleutels.
“Hoewel dit een serieuze aanval was, kreeg de aanvaller geen schrijftoegang tot Reddit-systemen; ze kregen alleen-lezen toegang tot sommige systemen die back-upgegevens, broncode en andere logbestanden bevatten”, meldt het bedrijf. “Ze waren niet in staat om Reddit-informatie te wijzigen en we hebben sinds de gebeurtenis stappen ondernomen om verder te gaan het vergrendelen en roteren van alle productiegeheimen en API-sleutels, en om onze logboekregistratie en monitoring te verbeteren systemen.”
Reddit ontdekte de inbreuk op 19 juni, die plaatsvond tussen 14 juni en 18 juni. Nadat de inbreuk was ontdekt, werkte Reddit samen met zijn cloud- en broncode-hostingpartners om te begrijpen waartoe de aanvaller toegang had. Het bedrijf meldde de hack ook bij de politie en begon berichten te sturen naar gebruikersaccounts. Reddit heeft aanvullende stappen ondernomen om ook zijn netwerk beter te beveiligen.
Reddit suggereert dat gebruikers hun wachtwoorden heroverwegen als ze al jaren op de site en/of elders worden gebruikt. Reddit stelt ook voor om sterke, unieke wachtwoorden en authenticator-apps te gebruiken om te profiteren van de tweefactorauthenticatiefunctie van de site.
Aanbevelingen van de redactie
- Hackers hebben zojuist persoonlijke gegevens van miljoenen Acer-klanten gestolen
- Quora getroffen door datalek waardoor ongeveer 100 miljoen gebruikers getroffen zijn
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
