Redditのシステムがハッキングされ、古い個人情報が盗まれました

あなたはRedditのユーザーですか？どれくらいの間使用していますか？2007年に使用していましたか？思い出すのは難しいですよね？もしそれを理解できて、2007年に10年以上前に使用していたとしたら、あなたの個人情報が盗まれているかもしれません。ハッカーがRedditのシステムに侵入し、ユーザーデータのキャッシュを盗みましたが、それは11年前のデータです。

侵害の詳細

確かに、Redditはニュースを読み、議論するのに素晴らしい場所です。実際、2005年からずっとそうです。読むために登録する必要はありませんが、自分のニュースを投稿したり、他のニュースに投票したり、読んでいる内容について議論したりするにはアカウントが必要です。

Redditのシステムは6月中旬にハッキングされ、6月19日に発覚しました。盗まれた個人情報には、2007年の現行のメールアドレスやパスワードが含まれていました。

「＊それ以来、何がアクセスされたのかを特定し、再発を防ぐためにシステムとプロセスを改善するための苦労の多い調査を行っています、＊」とRedditの最高技術責任者で創業エンジニアのクリストファー・スローウェはRedditの投稿で述べました。

SMSベースの認証に関する問題

スローウェによると、この侵害を可能にしたのは、Redditが従業員アカウントに古い形式の2要素認証を使用していたためです。従業員がログインすると、パスワードの後に入力するためのワンタイムコードがSMSメッセージで送信されました。しかしこのシステムはもはや安全とは見なされておらず、攻撃者がテキストからコードを傍受するのが非常に簡単です。

「＊私たちは、SMSベースの認証が私たちが望むほど安全ではないことを学びました、そして主な攻撃はSMSの傍受によって行われました、＊」とスローウェは説明しました。幸いなことに、彼らはこのような事が再発しないように従業員のログインシステムを変更しています。

盗まれたパスワードはハッシュ化されており、これはそれらを無作為な文字列にスクランブルするための暗号化プロセスを通して行われましたが、組み立て直すのを難しくします。しかし、ハッシュ化は過去10年で改善されており、古い技術は今では壊しやすいと見なされています。

アメリカ国立標準技術研究所は2016年に、今後SMSベースの認証を推奨しないと述べました。一年後、SMSベースの認証を使用して組織のシステムを保護する際のリスクを示す公式ガイドを発表しました。

スローウェは、使用していたサードパーティ製ソフトウェアのためにSMSベースの認証を完全に回避できなかったと認めました。しかし、スローウェは「この問題は解決しました」と報告しています。彼は「ここにいる皆さんがトークンベースの2要素認証に移行することを奨励するためにこれを指摘します」と付け加えました。

これからの進展

あなたは2007年からRedditのパスワードを変更していないことが心配ですか？スローウェは、この侵害の影響を受けた場合、あなたに連絡すると言いました。もしあなたのパスワードが侵害されていて、今も使用しているなら、リセットを強いられます。しかし正直なところ、今の時点でリセットしたくない理由はないと思います。

「Redditがあなたにパスワードを変更するよう促すかどうかにかかわらず、11年前にRedditで使用していたパスワードが今他のサイトでも使用されているかについて考えてみてください、」とスローウェは付け加えました。

2007年のパスワードが侵害されたことを心配していますか？当時Redditを使用していて、すべてを忘れてパスワードが脆弱になっているのではないですか？このRedditの侵害についてあなたの意見を教えてください。