Sistemi di Reddit Hacking, Vecchie Informazioni Personali Rubate

Sei un utente di Reddit? Da quanto tempo lo usi? Lo usavi nel 2007? È difficile ricordare, vero? Se te lo sei ricordato, e lo usavi più di un decennio fa nel 2007, le tue informazioni personali potrebbero essere state rubate. Gli hacker hanno violato i sistemi di Reddit e rubato un cache di dati degli utenti, ma sono dati vecchi di undici anni.

La Violazione

Certo, Reddit è un ottimo posto dove andare se ti piace leggere le notizie e poi discuterne. In effetti, lo è sempre stato, dal 2005. Non devi nemmeno registrarti per leggere i contenuti lì, ma se vuoi inviare le tue notizie, votare su altre o discutere su ciò che stai leggendo, devi avere un account.

I sistemi di Reddit sono stati hackerati a metà giugno, con la scoperta avvenuta il 19 giugno. Le informazioni personali rubate includevano indirizzi email attuali e password del 2007.

“Da allora abbiamo condotto un’indagine approfondita per capire cosa è stato accesso e per migliorare i nostri sistemi e processi per prevenire che questo accada di nuovo,” ha dichiarato il direttore tecnico di Reddit e ingegnere fondatore, Christopher Slowe, in un post su Reddit.

news-reddit-hacked-01

Il Problema con l’Autenticazione Basata su SMS

Ciò che ha reso possibile la violazione è stato che Reddit stava usando una forma obsoleta di autenticazione a due fattori sugli account dei dipendenti, secondo Slowe. Quando un dipendente accedeva, riceveva un messaggio SMS con un codice monouso da inserire dopo la password. Ma questo sistema non è più considerato sicuro, poiché è troppo facile per gli attaccanti intercettare i codici dai messaggi.

“Abbiamo appreso che l’autenticazione basata su SMS non è così sicura come speravamo, e l’attacco principale è avvenuto tramite intercettazione degli SMS,” ha spiegato Slowe. Fortunatamente, stanno cambiando il loro sistema di accesso per i dipendenti in modo che questo tipo di situazione non si ripeta.

Le password rubate erano crittografate, il che significa che erano state sottoposte a un processo di crittografia per trasformarle in una lunga stringa di caratteri casuali per rendere più difficile riunirle di nuovo. Ma la crittografia è migliorata nell’ultimo decennio, e quelle tecniche più vecchie ora sono viste come facili da rompere.

L’Istituto Nazionale degli Standard e della Tecnologia degli Stati Uniti ha dichiarato nel 2016 che non avrebbe raccomandato l’autenticazione basata su SMS in futuro. Un anno dopo hanno pubblicato una guida ufficiale mostrando i rischi che si corrono quando si utilizza l’autenticazione basata su SMS per proteggere i sistemi di un’organizzazione.

news-reddit-hacked-hoodie

Slowe ha ammesso che non erano sempre in grado di evitare di utilizzare l’autenticazione basata su SMS a causa del software di terze parti che stavano utilizzando. Tuttavia, Slowe riporta che hanno “da allora risolto questo.” Ha aggiunto: “Facciamo notare questo per incoraggiare tutti a passare all’autenticazione a due fattori basata su token.”

Andando Avanti

Sei preoccupato di non aver cambiato la tua password di Reddit dal 2007? Slowe ha detto che ti contatteranno se sei stato colpito da questa violazione. Se la tua password è stata compromessa e la stai ancora usando, dovrai reimpostarla. Ma sinceramente, a questo punto, non sono sicuro del perché non vorresti reimpostarla.

“Che Reddit ti suggerisca o meno di cambiare la tua password,” ha aggiunto Slowe, “pensa a se stai ancora utilizzando la password che hai usato su Reddit undici anni fa su altri siti oggi.”

Sei preoccupato che la tua password del 2007 sia stata compromessa? La usavi su Reddit all’epoca e te ne sei dimenticato, lasciando la tua password vulnerabile? Facci sapere cosa ne pensi di questa violazione di Reddit.