Uma atualização oficial postada pelo Reddit revela que um invasor invadiu alguns sistemas da rede da empresa e roubou dados do usuário. O roubo consistiu em um backup de banco de dados de 2007 contendo senhas com hash salgado junto com “alguns” endereços de e-mail atuais. O Reddit está atualmente trabalhando com as autoridades policiais enquanto investigam a violação.
De acordo com o Reddit, o backup do banco de dados vazado inclui nomes de usuário e senhas com hash salgadas usadas entre o lançamento do site em 2005 e maio de 2007. Também inclui endereços de e-mail, conteúdo público e mensagens privadas. Os usuários do Reddit com dados contidos neste backup serão notificados para redefinir suas senhas. Aqueles que criaram uma conta no Reddit depois de maio de 2007 não serão afetados nesta parte específica da violação.
Vídeos recomendados
Se você não está familiarizado com o termo “hash”, o hash converte uma senha em um valor com comprimento fixo que não pode ser revertido sem muito poder de computação. “Salgar” significa inserir um valor secreto aleatório adicional em uma senha para que os hackers não possam usar ataques de dicionário. Os servidores criam um novo sal gerado aleatoriamente para cada senha e os misturam usando criptografia.
Relacionado
- Macy's confirma que hackers roubaram dados de clientes de seu site
O Reddit também disse que o invasor obteve acesso a resumos de e-mail de [email protected] enviado entre 3 e 17 de junho de 2018. Conforme mostrado acima, os resumos conectam nomes de usuário a endereços de e-mail e também destacam subreddits assinados. Aqueles que não associam seu endereço de e-mail à conta do Reddit e/ou desmarcam a opção “resumos de e-mail” em sua conta não são afetados.
Ainda assim, isso não é tudo. Como o hacker teve acesso de leitura aos sistemas de armazenamento do Reddit, o invasor obteve código-fonte, logs internos, arquivos de configuração e arquivos do espaço de trabalho dos funcionários. Do lado do usuário final, o banco de dados de 2007 e os resumos de e-mail foram a fonte do tesouro do invasor.
Como o invasor se infiltrou no Reddit? Por meio de “algumas” contas de funcionários comprometidas vinculadas aos provedores de nuvem e hospedagem de código-fonte do Reddit. Essas contas eram protegidas por autenticação de dois fatores por meio de mensagens SMS, que não é a forma mais segura de verificação de credenciais. O Reddit sugere que todos mudem para a autenticação de dois fatores baseada em token, como reconhecimento facial, digitalização de impressões digitais e Chaves baseadas em USB.
“Embora este tenha sido um ataque sério, o invasor não obteve acesso de gravação aos sistemas Reddit; eles obtiveram acesso somente leitura a alguns sistemas que continham dados de backup, código-fonte e outros logs”, relata a empresa. “Eles não foram capazes de alterar as informações do Reddit e tomamos medidas desde o evento para promover bloquear e alternar todos os segredos de produção e chaves de API e melhorar nosso registro e monitoramento sistemas.”
O Reddit descobriu a violação em 19 de junho, que ocorreu entre 14 e 18 de junho. Depois de descobrir a violação, o Reddit trabalhou com seus parceiros de nuvem e hospedagem de código-fonte para entender o que o invasor acessou. A empresa também denunciou o hack às autoridades e começou a enviar mensagens para contas de usuários. O Reddit também tomou medidas adicionais para proteger melhor sua rede.
O Reddit sugere que os usuários reconsiderem suas senhas caso elas estejam em uso há anos no site e/ou em outro lugar. O Reddit também sugere o uso de senhas fortes e exclusivas e aplicativos autenticadores para aproveitar as vantagens do recurso de autenticação de dois fatores do site.
Recomendações dos Editores
- Hackers roubaram dados pessoais de milhões de clientes da Acer
- Quora atingido por violação de dados que afeta cerca de 100 milhões de usuários
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.
