Офіційне оновлення опубліковано Reddit показує, що зловмисник зламав кілька систем у мережі компанії та викрав дані користувачів. Крадіжка полягала в резервній копії бази даних 2007 року, що містила підсолені хешовані паролі разом із «деякими» поточними електронними адресами. Зараз Reddit співпрацює з правоохоронними органами, розслідуючи це порушення.
За даними Reddit, витік резервної копії бази даних містить імена користувачів і хешовані паролі, які використовувалися з моменту запуску сайту в 2005 році до травня 2007 року. Він також містить адреси електронної пошти, загальнодоступний вміст і особисті повідомлення. Користувачі Reddit, дані яких містяться в цій резервній копії, отримають сповіщення про необхідність скинути свої паролі. Тих, хто створив обліковий запис Reddit після травня 2007 року, ця конкретна частина порушення не стосується.
Рекомендовані відео
Якщо ви не знайомі з терміном «хеш», хешування перетворює пароль на значення фіксованої довжини, яке неможливо скасувати без великої обчислювальної потужності. «Засіб» означає додавання додаткового випадкового секретного значення в пароль, щоб хакери не могли використовувати атаки за словником. Сервери створюють нову випадково згенеровану сіль для кожного пароля та хешують їх разом за допомогою криптографії.
Пов'язані
- Macy’s підтверджує, що хакери вкрали дані клієнтів з її сайту
Reddit також повідомив, що зловмисник отримав доступ до дайджестів електронної пошти [email protected] надіслано з 3 по 17 червня 2018 року. Як показано вище, дайджести пов’язують імена користувачів з адресами електронної пошти, а також висвітлюють субредити, на які ви підписалися. Тих, хто не пов’язує свою адресу електронної пошти зі своїм обліковим записом Reddit і/або не вимкнув опцію «збірки електронної пошти» у своєму обліковому записі, це не вплине.
Але це ще не все. Оскільки хакер мав доступ для читання систем зберігання даних Reddit, зловмисник отримав вихідний код, внутрішні журнали, файли конфігурації та файли робочої області співробітників. З боку кінцевих користувачів база даних 2007 року та дайджести електронної пошти були джерелом скарбниці зловмисників.
Як зловмисник проник на Reddit? Через «кілька» скомпрометованих облікових записів співробітників, прив’язаних до хмари Reddit і постачальників хостингу вихідного коду. Ці облікові записи були захищені двофакторною автентифікацією за допомогою SMS-повідомлень, яка не є найбезпечнішою формою перевірки облікових даних. Reddit пропонує всім перейти на двофакторну автентифікацію на основі токенів, як-от розпізнавання обличчя, сканування відбитків пальців і USB-ключі.
«Хоча це була серйозна атака, зловмисник не отримав доступу для запису до систем Reddit; вони отримали доступ лише для читання до деяких систем, які містили дані резервного копіювання, вихідний код та інші журнали», – повідомляє компанія. «Вони не змогли змінити інформацію Reddit, і після події ми вжили заходів для подальшого розвитку заблокувати та замінити всі виробничі секрети та ключі API, а також покращити наше журналювання та моніторинг системи».
Reddit виявив злом 19 червня, який стався з 14 по 18 червня. Після виявлення злому Reddit працював зі своїми партнерами з хостингу хмари та вихідного коду, щоб зрозуміти, до чого отримав доступ зловмисник. Компанія також повідомила про злом правоохоронним органам і почала обмінюватися повідомленнями в облікових записах користувачів. Reddit також вжив додаткових заходів для кращого захисту своєї мережі.
Reddit пропонує користувачам переглянути свої паролі, якщо вони роками використовувалися на сайті та/або деінде. Reddit також пропонує використовувати надійні унікальні паролі та програми автентифікації, щоб скористатися функцією двофакторної автентифікації сайту.
Рекомендації редакції
- Хакери щойно вкрали особисті дані мільйонів клієнтів Acer
- Quora постраждала від витоку даних, що вплинуло на близько 100 мільйонів користувачів
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
