最大的社交互联网中心之一,Reddit,于周三宣布网络犯罪分子进入其网络。
攻击者设法访问了各种数据:一个数据库,其中包含2005年至2007年注册的用户的电子邮件地址和
哈希密码,用户电子邮件,源代码,内部文件以及“ 2007年以来的所有Reddit数据”。 据报道,该事件发生在2018年6月14日至18日之间,并于6月19日被发现。 攻击者通过获得数据访问权来折衷Reddit员工的未公开数量,并渗透到“多个系统”中。
插图来自theguardian.comReddit的代表正式承认了黑客的事实,并在
其博客中概述了所发生事件的实质:
6月19日,我们了解到,黑客通过拦截通过SMS传来的两因素身份验证验证码,从而破坏了几个Reddit帐户的云和源代码访问权限
我们与执法机构合作,采取必要措施消除当前局势的影响,并尽一切可能避免将来发生此类事件。 只有少数用户受到影响,我们已经通知了这些用户
尤其是黑客,获得了2007年5月的数据库备份。 Reddit成立于2005年并开始运行,该数据库备份包含该网站运营两年的所有信息,包括其所有内容和用户消息(包括个人消息)以及哈希密码和哈希盐,这些数据与创建备份时相关。
该公司的代表声称,犯罪分子没有获得对受感染服务器的写访问权,这意味着他们无法修改任何重要数据。 尽管如此,开发人员仍然加强了安全性(特别是更改了API密钥)和监视。
此外,黑客很幸运地获得了2018年6月3日至6月17日之间发送的最新电子邮件摘要。 这些向门户网站读者推荐的帖子集包含有关用户名及其关联的电子邮件地址的信息。
SMS两因素失败
Reddit使用基本的两因素SMS身份验证,通过要求一次性密码以及用户名和密码来保护其员工帐户。
但是,根据Reddit所说,黑客截获的正是这些短信
SecureAuth + Core Security首席技术官 Keith Graham评论
了Guardian的情况:“尽管SMS身份验证很流行并且比密码更安全,但众所周知,它对于攻击者而言足够脆弱。它的差距已经使许多名人破裂。
Graham解释说,网络罪犯可以访问发送有两个因素的SMS代码的电话号码:“例如,网络罪犯可以简单地向移动通信公司的代表提供受害者的地址,社会安全号码的最后4位数字,以及可能提供的用于转移移动电话号码的信用卡电话。
“由于先前的数据库泄漏,例如Equifax,这是在暗网上广泛可用的信息。”
后果
如果早在2018年6月19日发现安全事件,那么仅在2018年8月1日才公开报告该事件,这引起了一些疑问。 一个多月后。 另一个有趣的观点是,在对事件新闻的
评论中 ,资源管理员说:“他们
雇用了他们的
第一位安全负责人 ,而他只是在
2.5个月前开始工作。”
目前,受感染的用户帐户仍然有效,但是已向其所有者发送了一封信件,其中包含有关更改密码的说明。
另外,reddit管理员引入了高级的两因素身份验证来访问敏感数据。 建议Reddit用户使用应用程序生成的代码(而不是通过SMS)重置并设置一个强大的唯一密码,并配置登录确认。