Um dos maiores centros sociais da Internet, o Reddit, anunciou a entrada de cibercriminosos em sua rede na quarta-feira.
Os invasores conseguiram acessar vários dados: um banco de dados com endereços de e-mail e senhas com
hash de usuários registrados de 2005 a 2007, e-mails de usuários, códigos-fonte, arquivos internos e "todos os dados do Reddit de 2007". É relatado que o incidente ocorreu entre 14 e 18 de junho de 2018 e a penetração foi descoberta em 19 de junho. Os invasores comprometeram o número não revelado de funcionários do Reddit e se infiltraram em "múltiplos sistemas" ao obter acesso aos dados.
Ilustração de theguardian.comRepresentantes do Reddit admitiram oficialmente o fato de hackear e descreveram a essência do que aconteceu em
seu blog :
Em 19 de junho, soubemos que um hacker havia comprometido várias contas do Reddit com acesso à nuvem e ao código-fonte interceptando códigos de verificação de autenticação de dois fatores que vinham via SMS
Cooperamos com as agências policiais, fazemos o necessário para eliminar as conseqüências da situação atual e também tentamos fazer todo o possível para evitar esses incidentes no futuro. Apenas um pequeno número de usuários foi afetado, a quem já notificamos
Os hackers, em particular, chegaram ao backup do banco de dados, datado de maio de 2007. O Reddit foi fundado e começou a operar em 2005, e esse backup do banco de dados continha todas as informações por dois anos de operação do site, incluindo todo o seu conteúdo e mensagens de usuário (incluindo pessoais), além de senhas e sais de hash relevantes no momento do backup. .
Os representantes da empresa alegam que os criminosos não tiveram acesso de gravação aos servidores comprometidos, o que significa que não puderam modificar nenhum dado importante. No entanto, os desenvolvedores ainda reforçaram a segurança (em particular, alteraram as chaves da API) e o monitoramento.
Além disso, os hackers tiveram a sorte de obter resumos de e-mail mais recentes enviados entre 3 e 17 de junho de 2018. Essas coleções de postagens recomendadas para os leitores do portal contêm informações sobre nomes de usuário e seus endereços de email associados.
Falha de dois fatores do SMS
O Reddit usa a autenticação SMS básica de dois fatores para proteger suas contas de funcionários, exigindo uma senha única, juntamente com um nome de usuário e senha.
No entanto, de acordo com o Reddit, foram essas mensagens de texto que os hackers interceptaram
Keith Graham, diretor técnico
da SecureAuth + Core Security , comentou a situação
do Guardian : “Embora a autenticação por SMS seja popular e muito mais segura do que apenas uma senha, é sabido que é vulnerável o suficiente para os cibercriminosos suas lacunas já quebraram muitas celebridades.
Graham explicou que os cibercriminosos podem acessar o número de telefone para o qual o código SMS de dois fatores é enviado: “Por exemplo, um cibercriminoso pode simplesmente fornecer ao representante da empresa de comunicações móveis o endereço da vítima, os últimos quatro dígitos do número da previdência social e, possivelmente, um cartão de crédito para transferir o número do celular. telefone.
"Essas são as informações amplamente disponíveis na darknet devido a vazamentos anteriores no banco de dados, como o Equifax".
As consequências
Algumas perguntas são levantadas pelo fato de que, se um incidente de segurança foi descoberto em 19 de junho de 2018, foi relatado publicamente apenas em 1º de agosto de 2018, ou seja, mais de um mês depois. Outro ponto interessante, nos
comentários sobre as notícias do incidente, os administradores de recursos disseram que "eles
contrataram seu
primeiro chefe de segurança e ele começou a trabalhar há apenas
2,5 meses ".
No momento, as contas de usuário comprometidas ainda são válidas, mas foram enviadas cartas aos proprietários com instruções sobre como alterar a senha.
Além disso, os administradores do reddit introduziram a autenticação avançada de dois fatores para acessar dados confidenciais. Os usuários do Reddit são aconselhados a redefinir e definir uma senha exclusiva forte e configurar a confirmação de login usando o código gerado pelo aplicativo, e não via SMS.