O actualizare oficială postată de Reddit dezvăluie că un atacator a spart în câteva sisteme din rețeaua companiei și a furat datele utilizatorului. Furtul a constat într-o copie de rezervă a bazei de date din 2007 care conținea parole cu hash sărate împreună cu „unele” adrese de e-mail actuale. Reddit lucrează în prezent cu forțele de ordine în timp ce investighează încălcarea.
Potrivit Reddit, copia de rezervă a bazei de date scurs include nume de utilizator și parole hashed sărate utilizate între lansarea site-ului în 2005 până în mai 2007. Include, de asemenea, adrese de e-mail, conținut public și mesaje private. Utilizatorii Reddit cu date conținute în această copie de rezervă vor fi notificați pentru a-și reseta parolele. Cei care și-au creat un cont Reddit după mai 2007 nu sunt afectați de această parte specifică a încălcării.
Videoclipuri recomandate
Dacă nu sunteți familiarizat cu termenul „hash”, hashing-ul convertește o parolă într-o valoare cu o lungime fixă care nu poate fi inversată fără multă putere de calcul. „Sărare” înseamnă aruncarea unei valori secrete suplimentare, aleatoare, într-o parolă, astfel încât hackerii să nu poată folosi atacurile de dicționar. Serverele creează o nouă sare generată aleatoriu pentru fiecare parolă și le adună împreună folosind criptografie.
Legate de
- Macy’s confirmă că hackerii au furat datele clienților de pe site-ul său
Reddit a mai spus că atacatorul a obținut acces la rezumatele de e-mail de la [email protected] trimis în perioada 3 iunie – 17 iunie 2018. După cum se arată mai sus, rezumatele conectează numele de utilizator la adrese de e-mail și, de asemenea, evidențiază subreddit-urile abonate. Cei care nu își asociază adresa de e-mail cu contul Reddit și/sau au debifat opțiunea „rezumate e-mail” din contul lor nu sunt afectați.
Totuși, asta nu este tot. Deoarece hackerul avea acces de citire la sistemele de stocare ale Reddit, atacatorul a obținut codul sursă, jurnalele interne, fișierele de configurare și fișierele spațiului de lucru al angajaților. În ceea ce privește utilizatorii finali, baza de date din 2007 și rezumatele de e-mail au fost sursa comorilor atacatorului.
Cum s-a infiltrat atacatorul în Reddit? Prin „câteva” conturi de angajați compromise legate de furnizorii de găzduire a codului sursă și cloud ai Reddit. Aceste conturi au fost protejate prin autentificare cu doi factori prin mesaje SMS, care nu este cea mai sigură formă de verificare a acreditărilor. Reddit sugerează tuturor să treacă la autentificarea cu doi factori bazată pe token, cum ar fi recunoașterea facială, scanarea amprentelor și Chei bazate pe USB.
„Deși acesta a fost un atac serios, atacatorul nu a obținut acces de scriere la sistemele Reddit; au obținut acces numai în citire la unele sisteme care conțineau date de rezervă, cod sursă și alte jurnale”, relatează compania. „Nu au reușit să modifice informațiile Reddit și am luat măsuri de la eveniment pentru a continua blocați și rotiți toate secretele de producție și cheile API și să ne îmbunătățim înregistrarea și monitorizarea sisteme.”
Reddit a descoperit breșa pe 19 iunie, care a avut loc între 14 și 18 iunie. După ce a descoperit încălcarea, Reddit a lucrat cu partenerii săi de găzduire în cloud și cod sursă pentru a înțelege ce a accesat atacatorul. Compania a raportat, de asemenea, hack-ul forțelor de ordine și a început să trimită conturi de utilizatori. Reddit a luat măsuri suplimentare pentru a-și securiza mai bine rețeaua.
Reddit sugerează utilizatorilor să-și reconsidere parolele dacă au fost utilizați de ani de zile pe site și/sau în altă parte. Reddit sugerează, de asemenea, utilizarea parolelor puternice și unice și a aplicațiilor de autentificare pentru a profita de caracteristica de autentificare cu doi factori a site-ului.
Recomandările editorilor
- Hackerii tocmai au furat date personale de la milioane de clienți Acer
- Quora a fost lovit de o încălcare a datelor care afectează aproximativ 100 de milioane de utilizatori
Îmbunătățește-ți stilul de viațăDigital Trends îi ajută pe cititori să țină cont de lumea rapidă a tehnologiei cu toate cele mai recente știri, recenzii distractive despre produse, editoriale perspicace și anticipări unice.
