Reddit tarafından yayınlanan resmi bir güncelleme bir saldırganın şirketin ağındaki birkaç sisteme girip kullanıcı verilerini çaldığını ortaya koyuyor. Hırsızlık, "bazı" mevcut e-posta adreslerinin yanı sıra tuzlanmış karma şifreler içeren 2007 yılındaki bir veritabanı yedeğinden oluşuyordu. Reddit şu anda ihlali araştırırken kolluk kuvvetleriyle birlikte çalışıyor.
Reddit'e göre, sızdırılan veritabanı yedeği, sitenin 2005'teki açılışından Mayıs 2007'ye kadar kullanılan kullanıcı adlarını ve tuzlanmış karma şifreleri içeriyor. Aynı zamanda e-posta adreslerini, genel içeriği ve özel mesajları da içerir. Bu yedeklemede yer alan verilere sahip Reddit kullanıcılarına şifrelerini sıfırlamaları bildirilecektir. Mayıs 2007'den sonra Reddit hesabı oluşturanlar ihlalin bu kısmından etkilenmeyecek.
Önerilen Videolar
"Karma" terimine aşina değilseniz, karma işlemi, bir parolayı çok fazla bilgi işlem gücü olmadan tersine çevrilemeyen sabit uzunlukta bir değere dönüştürür. "Tuzlama", bilgisayar korsanlarının sözlük saldırılarını kullanamaması için parolaya ek, rastgele bir gizli değer eklemek anlamına gelir. Sunucular, her parola için rastgele oluşturulmuş yeni bir tuz oluşturur ve bunları kriptografi kullanarak bir araya getirir.
İlgili
- Macy's, bilgisayar korsanlarının web sitesinden müşteri verilerini çaldığını doğruladı
Reddit ayrıca saldırganın e-posta özetlerine erişim sağladığını da söyledi. [email protected] 3 Haziran - 17 Haziran 2018 tarihleri arasında gönderildi. Yukarıda gösterildiği gibi özetler, kullanıcı adlarını e-posta adreslerine bağlar ve ayrıca abone olunan alt dizinleri vurgular. E-posta adreslerini Reddit hesaplarıyla ilişkilendirmeyen ve/veya hesaplarındaki "e-posta özetleri" seçeneğinin işaretini kaldıranlar etkilenmez.
Yine de hepsi bu değil. Bilgisayar korsanının Reddit'in depolama sistemlerine okuma erişimi olduğu için saldırgan kaynak kodunu, dahili günlükleri, yapılandırma dosyalarını ve çalışanların çalışma alanı dosyalarını ele geçirdi. Son kullanıcı tarafında ise saldırganın hazinesinin kaynağı 2007 veritabanı ve e-posta özetleriydi.
Saldırgan Reddit'e nasıl sızdı? Reddit'in bulut ve kaynak kodu barındırma sağlayıcılarına bağlı "birkaç" güvenliği ihlal edilmiş çalışan hesabı aracılığıyla. Bu hesaplar, kimlik bilgisi doğrulamanın en güvenli biçimi olmayan SMS mesajlaşma yoluyla iki faktörlü kimlik doğrulamayla korunuyordu. Reddit, herkesin yüz tanıma, parmak izi taraması gibi belirteç tabanlı iki faktörlü kimlik doğrulamasına geçmesini öneriyor. USB tabanlı anahtarlar.
“Bu ciddi bir saldırı olmasına rağmen saldırgan Reddit sistemlerine yazma erişimi sağlayamadı; şirket, yedekleme verilerini, kaynak kodunu ve diğer günlükleri içeren bazı sistemlere salt okunur erişim elde ettiklerini bildirdi. "Reddit bilgilerini değiştiremediler ve biz de olaydan bu yana bunu daha da ileriye taşımak için adımlar attık. tüm üretim sırlarını ve API anahtarlarını kilitlemek ve döndürmek ve günlük kaydı ve izlememizi geliştirmek sistemler.”
Reddit, 14 Haziran ile 18 Haziran arasında gerçekleşen ihlali 19 Haziran'da keşfetti. İhlali keşfettikten sonra Reddit, saldırganın neye eriştiğini anlamak için bulut ve kaynak kodu barındırma ortaklarıyla birlikte çalıştı. Şirket ayrıca hack olayını kolluk kuvvetlerine bildirdi ve kullanıcı hesaplarına mesaj göndermeye başladı. Reddit, ağının güvenliğini daha iyi sağlamak için ek adımlar da attı.
Reddit, kullanıcıların şifrelerini sitede ve/veya başka bir yerde yıllardır kullanmaları durumunda yeniden gözden geçirmelerini öneriyor. Reddit ayrıca sitenin iki faktörlü kimlik doğrulama özelliğinden yararlanmak için güçlü, benzersiz şifreler ve kimlik doğrulama uygulamaları kullanmanızı da öneriyor.
Editörlerin Önerileri
- Bilgisayar korsanları milyonlarca Acer müşterisinin kişisel verilerini çaldı
- Yaklaşık 100 milyon kullanıcıyı etkileyen veri ihlali Quora'yı vurdu
Yaşam tarzınızı yükseltinDigital Trends, en son haberler, eğlenceli ürün incelemeleri, anlayışlı başyazılar ve türünün tek örneği olan ön bakışlarla okuyucuların teknolojinin hızlı tempolu dünyasını takip etmelerine yardımcı olur.
