Osoba atakująca ukradła dane użytkowników Reddita poprzez przejęcie kont pracowników

GongTo/Shutterstock

Oficjalna aktualizacja opublikowana przez Reddit ujawnia, że ​​osoba atakująca włamała się do kilku systemów w sieci firmowej i ukradła dane użytkowników. Kradzież polegała na kopii zapasowej bazy danych z 2007 roku zawierającej solone, zaszyfrowane hasła wraz z „niektórymi” aktualnymi adresami e-mail. Reddit współpracuje obecnie z organami ścigania, które badają naruszenie.

Według Reddita kopia zapasowa bazy danych, która wyciekła, zawiera nazwy użytkowników i solone hasła używane od uruchomienia witryny w 2005 r. do maja 2007 r. Obejmuje także adresy e-mail, treści publiczne i wiadomości prywatne. Użytkownicy Reddita posiadający dane zawarte w tej kopii zapasowej zostaną powiadomieni o konieczności zresetowania hasła. Ta konkretna część naruszenia nie dotyczy osób, które utworzyły konto Reddit po maju 2007 r.

Polecane filmy

Jeśli nie znasz terminu „hasz”, hashowanie przekształca hasło w wartość o stałej długości, której nie można odwrócić bez dużej mocy obliczeniowej. „Salowanie” oznacza wrzucanie dodatkowej, losowej tajnej wartości do hasła, aby hakerzy nie mogli zastosować ataków słownikowych. Serwery tworzą nową, losowo generowaną sól dla każdego hasła i mieszają je razem za pomocą kryptografii.

Powiązany

  • Macy's potwierdza, że ​​hakerzy ukradli dane klientów z jej witryny internetowej

Reddit powiedział również, że atakujący uzyskał dostęp do podsumowań wiadomości e-mail [email protected] przesłane w dniach 3–17 czerwca 2018 r. Jak pokazano powyżej, podsumowania łączą nazwy użytkowników z adresami e-mail, a także wyróżniają subskrybowane subreddity. Nie dotyczy to osób, które nie powiązały swojego adresu e-mail ze swoim kontem Reddit i/lub nie odznaczyły opcji „streszczenia e-maili” na swoim koncie.

To jednak nie wszystko. Ponieważ haker miał dostęp do odczytu systemów pamięci masowej Reddit, atakujący uzyskał kod źródłowy, wewnętrzne logi, pliki konfiguracyjne i pliki obszaru roboczego pracowników. Po stronie użytkownika końcowego źródłem skarbu atakującego była baza danych z 2007 roku i podsumowania wiadomości e-mail.

W jaki sposób napastnik przedostał się do Reddita? Poprzez „kilka” zainfekowanych kont pracowników powiązanych z dostawcami usług hostingowych w chmurze i kodu źródłowego Reddit. Konta te były chronione uwierzytelnianiem dwuskładnikowym za pośrednictwem wiadomości SMS, co nie jest najbezpieczniejszą formą weryfikacji danych uwierzytelniających. Reddit sugeruje wszystkim przejście na uwierzytelnianie dwuskładnikowe oparte na tokenach, takie jak rozpoznawanie twarzy, skanowanie odcisków palców i Klucze oparte na USB.

„Chociaż był to poważny atak, osoba atakująca nie uzyskała dostępu do zapisu w systemach Reddit; uzyskali dostęp tylko do odczytu do niektórych systemów, które zawierały dane zapasowe, kod źródłowy i inne dzienniki” – podaje firma. „Nie byli w stanie zmienić informacji na Reddicie i od tego wydarzenia podjęliśmy dalsze kroki blokuj i obracaj wszystkie tajemnice produkcyjne i klucze API, a także ulepsz nasze rejestrowanie i monitorowanie systemy.”

Reddit odkrył naruszenie 19 czerwca, które miało miejsce między 14 a 18 czerwca. Po wykryciu naruszenia Reddit współpracował ze swoimi partnerami zajmującymi się hostingiem chmury i kodu źródłowego, aby dowiedzieć się, do czego uzyskał dostęp atakujący. Firma zgłosiła również włamanie organom ścigania i zaczęła wysyłać wiadomości do kont użytkowników. Reddit podjął dodatkowe kroki, aby lepiej zabezpieczyć swoją sieć.

Reddit sugeruje, aby użytkownicy ponownie rozważyli swoje hasła, jeśli są używane od lat w witrynie i/lub gdzie indziej. Reddit sugeruje również używanie silnych, unikalnych haseł i aplikacji uwierzytelniających, aby skorzystać z funkcji uwierzytelniania dwuskładnikowego witryny.

Zalecenia redaktorów

  • Hakerzy właśnie ukradli dane osobowe milionów klientów Acer
  • Quora dotknięta naruszeniem bezpieczeństwa danych, które dotknęło około 100 milionów użytkowników

Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.