Официальное обновление опубликовано Reddit сообщает, что злоумышленник взломал несколько систем в сети компании и украл пользовательские данные. Кража заключалась в резервной копии базы данных 2007 года, содержащей хешированные пароли с солью, а также «некоторые» текущие адреса электронной почты. Reddit в настоящее время работает с правоохранительными органами, которые расследуют нарушение.
По данным Reddit, утекшая резервная копия базы данных включает имена пользователей и хешированные пароли, использовавшиеся с момента запуска сайта в 2005 году по май 2007 года. Сюда также входят адреса электронной почты, общедоступный контент и личные сообщения. Пользователи Reddit, чьи данные содержатся в этой резервной копии, будут уведомлены о необходимости сбросить свои пароли. Те, кто создал учетную запись Reddit после мая 2007 года, не пострадали от этой конкретной части нарушения.
Рекомендуемые видео
Если вы не знакомы с термином «хеш», то хеширование преобразует пароль в значение фиксированной длины, которое невозможно обратить вспять без большой вычислительной мощности. «Засолка» означает добавление в пароль дополнительного случайного секретного значения, чтобы хакеры не могли использовать атаки по словарю. Серверы создают новую случайно сгенерированную соль для каждого пароля и хэшируют их с помощью криптографии.
Связанный
- Macy's подтверждает, что хакеры украли данные клиентов с ее сайта
Reddit также сообщил, что злоумышленник получил доступ к дайджестам электронной почты от [email protected] отправлено с 3 по 17 июня 2018 г. Как показано выше, дайджесты связывают имена пользователей с адресами электронной почты, а также выделяют подписанные субреддиты. Те, кто не связал свой адрес электронной почты со своей учетной записью Reddit и/или не снял флажок с опции «дайджесты электронной почты» в своей учетной записи, не будут затронуты.
Но это еще не все. Поскольку хакер имел доступ для чтения к системам хранения Reddit, злоумышленник получил исходный код, внутренние журналы, файлы конфигурации и файлы рабочего пространства сотрудников. Со стороны конечных пользователей источником сокровищ злоумышленников были база данных 2007 года и дайджесты электронной почты.
Как злоумышленнику удалось проникнуть на Reddit? Через «несколько» скомпрометированных учетных записей сотрудников, связанных с облаком Reddit и провайдерами хостинга исходного кода. Эти учетные записи были защищены двухфакторной аутентификацией посредством SMS-сообщений, которая не является самой безопасной формой проверки учетных данных. Reddit предлагает всем перейти на двухфакторную аутентификацию на основе токенов, такую как распознавание лиц, сканирование отпечатков пальцев и USB-ключи.
«Хотя это была серьезная атака, злоумышленник не получил доступа для записи в системы Reddit; они получили доступ только для чтения к некоторым системам, которые содержали резервные данные, исходный код и другие журналы», — сообщает компания. «Они не смогли изменить информацию Reddit, и после этого события мы предприняли шаги для дальнейшего заблокировать и ротировать все производственные секреты и ключи API, а также улучшить нашу регистрацию и мониторинг. системы».
Reddit обнаружил нарушение 19 июня, которое произошло в период с 14 по 18 июня. Обнаружив нарушение, Reddit работал со своими облачными партнерами и партнерами по хостингу исходного кода, чтобы понять, к чему получил доступ злоумышленник. Компания также сообщила о взломе правоохранительным органам и начала обмениваться сообщениями с учетными записями пользователей. Reddit также предпринял дополнительные шаги для повышения безопасности своей сети.
Reddit предлагает пользователям пересмотреть свои пароли, если они использовались на сайте и/или где-либо еще в течение многих лет. Reddit также предлагает использовать надежные, уникальные пароли и приложения для аутентификации, чтобы воспользоваться функцией двухфакторной аутентификации сайта.
Рекомендации редакции
- Хакеры только что украли личные данные миллионов клиентов Acer
- Quora пострадала от утечки данных, затронувшей около 100 миллионов пользователей
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.
