Інформаційна безпека

Reddit зламаний, витекла база з паролями та email за 2005-2007 роки

Один з найбільших соціальних хабів інтернету, Reddit, в середу заявив про проникнення кіберзлочинців в свою мережу.

Зловмисникам вдалося отримати доступ до різних даних: бази з email-адресами і хешірованнимі паролями користувачів, зареєстрованих з 2005 по 2007 рік, електронні листи користувачів, вихідні коди, внутрішні файли і «всі дані Reddit з 2007 року». Повідомляється, що інцидент мав місце між 14 і 18 червня 2018 року, і проникнення виявили 19 червня. Зловмисники скомпрометували нераскрываемое число співробітників Reddit і проникли в «кілька систем», отримавши доступ до даних.


Ілюстрація від theguardian.com

Представники Reddit офіційно визнали факт злому і виклали суть події в своєму блозі:
19 червня нам стало відомо, що хакер скомпрометував кілька облікових записів Reddit з доступом до хмари та вихідного коду, перехопивши коди перевірки двофакторної аутентифікації, які прийшли за ЅМЅМы співпрацюємо з правоохоронними органами, робимо необхідну для усунення наслідків поточної ситуації, а також постараємося зробити все, щоб уникнути подібних інцидентів у майбутньому. Постраждало лише невелика кількість користувачів, яких ми вже встигли повідомити

Хакери добралися зокрема до бекапа БД, датованого травнем 2007 року. Reddit був заснований і заробив у 2005 році, і цей бекап БД містив всю інформацію за два роки роботи сайту, у тому числі весь його вміст і повідомлення користувачів (включаючи особисті), а також паролі хешірованние і солі для хешей, актуальні на момент створення бекапа.

Представники компанії стверджують, що злочинці не отримали доступу на запис на скомпрометованих серверах, а значить, не могли модифікувати які-небудь важливі дані. Тим не менш, розробники все одно посилили безпеку (зокрема змінили ключі API) і моніторинг.

Так само хакерам пощастило дістатися і до більш свіжих email-дайджестів, надісланим між 3 червня і 17 червня 2018 року. Ці збірки рекомендованих постів для читачів порталу містять інформацію про користувача іменах і пов’язаних з ними поштових адресах.

Збій двофакторної аутентифікації на основі SMS

Reddit використовує звичайну двофакторну автентифікацію на основі SMS, щоб захистити свої облікові записи співробітників, вимагаючи введення одноразового коду доступу разом з ім’ям користувача і паролем.

Однак, як повідомив Reddit, саме ці текстові повідомлення хакери і перехопили

Кейт Грем (Keith Graham), головний технічний спеціаліст SecureAuth + Core Security, прокоментував ситуацію для the Guardian: «Хоча аутентифікація на основі SMS популярна і набагато більш безпечна, ніж просто пароль, широко відомо, що вона досить уразлива для зловмисників, які, використовуючи її проломи, вже зламали багатьох знаменитостей.

Грехем пояснив, що кіберзлочинці здатні отримати доступ до номера телефону, на який відправляється двохфакторну код SMS:: «Наприклад, кіберзлочинець просто може надати представнику компанії мобільного зв’язку адресу жертви, останні 4 цифри номера соціального страхування і, можливо, кредитну карту для трансферу номери мобільного телефону.

«Це та інформація, яка широко доступна в даркнете завдяки попереднім витокам баз даних, наприклад Equifax».

Наслідки

Деякі питання викликає той факт, що якщо інцидент з безпекою був виявлений ще 19 червня 2018 року, то публічно про нього повідомили лише 1 серпня 2018, тобто більш ніж через місяць. Ще один цікавий момент, в коментарях до новини про інцидент адміністратори ресурсу розповіли, що “найняли свого самого першого керівника служби безпеки, і він почав роботу всього 2,5 місяці тому“.

На даний момент скомпрометовані акаунти користувачів все ще діють, але їх власникам відправлені листи з інструкцією про зміну пароля.

Крім того, адміністратори реддита ввели вдосконалену двофакторну аутентифікацію для доступу до конфіденційних даних. Користувачам Reddit рекомендовано скинути і встановити стійкий унікальний пароль і налаштувати підтвердження входу допомогою коду, що генерується додатком, а не через SMS.

Related Articles

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Close