Sistemas do Reddit Hackeados, Informações Pessoais Antigas Roubadas

Você é um usuário do Reddit? Há quanto tempo você o usa? Você estava usando em 2007? É difícil lembrar, não é? Se você conseguir descobrir, e estava usando há mais de uma década, em 2007, suas informações pessoais podem ter sido roubadas. Hackers invadiram os sistemas do Reddit e roubaram um cache de dados de usuários, mas são dados de onze anos atrás.

A Violação

Claro, o Reddit é um ótimo lugar para quem gosta de ler notícias e depois discutir sobre elas. Na verdade, sempre foi assim, desde 2005. Você nem precisa se registrar para ler o conteúdo lá, mas se quiser enviar suas próprias notícias, votar nas de outros ou discutir sobre o que está lendo, você precisa ter uma conta.

Os sistemas do Reddit foram hackeados em meados de junho, sendo descobertos em 19 de junho. As informações pessoais que foram roubadas incluíam endereços de e-mail atuais e senhas de 2007.

“Desde então, temos conduzido uma investigação minuciosa para descobrir exatamente o que foi acessado e para melhorar nossos sistemas e processos para evitar que isso aconteça novamente,” disse o diretor de tecnologia e engenheiro fundador do Reddit, Christopher Slowe, em uma postagem no Reddit.

news-reddit-hacked-01

O Problema com a Autenticação Baseada em SMS

O que tornou a violação possível foi que o Reddit estava usando uma forma desatualizada de autenticação em duas etapas nas contas dos funcionários, de acordo com Slowe. Quando um funcionário se logava, recebia uma mensagem SMS com um código único para inserir após sua senha. Mas esse sistema não é mais considerado seguro, pois é muito fácil para os atacantes interceptarem os códigos das mensagens de texto.

“Aprendemos que a autenticação baseada em SMS não é tão segura quanto gostaríamos, e o principal ataque foi via interceptação de SMS,” explicou Slowe. Felizmente, eles estão mudando seu sistema de login para que esse tipo de coisa não aconteça novamente.

As senhas que foram roubadas estavam hasheadas, o que significa que foram submetidas a um processo de criptografia para embaralhá-las em uma longa sequência de caracteres aleatórios, dificultando sua recomposição. Mas o hashing melhorou na última década, e aquelas técnicas mais antigas agora são vistas como fáceis de quebrar.

O Instituto Nacional de Padrões e Tecnologia dos EUA disse em 2016 que não recomendaria a autenticação baseada em SMS no futuro. Um ano depois, eles lançaram um guia oficial mostrando os riscos envolvidos quando a autenticação baseada em SMS é usada para proteger os sistemas de uma organização.

news-reddit-hacked-hoodie

Slowe admitiu que nem sempre conseguiam evitar o uso da autenticação baseada em SMS devido ao software de terceiros que estavam usando. No entanto, Slowe relatou que “desde então resolveram isso.” Ele acrescentou: “Destacamos isso para encorajar todos aqui a migrar para autenticação em duas etapas baseada em token.”

Seguindo em Frente

Você está preocupado por não ter trocado sua senha do Reddit desde 2007? Slowe disse que eles entrarão em contato com você se você foi afetado por essa violação. Se sua senha foi comprometida e você ainda a estiver usando, será forçado a redefini-la. Mas, francamente, neste ponto, não sei por que você não gostaria de redefini-la.

“Se o Reddit o incitar ou não a mudar sua senha,” acrescentou Slowe, “pense se você ainda usa a senha que usou no Reddit há onze anos em outros sites hoje.”

Você está preocupado que sua senha de 2007 tenha sido comprometida? Você usava Reddit naquela época e esqueceu tudo sobre isso, deixando sua senha vulnerável? Deixe-nos saber qual é sua posição em relação a essa violação do Reddit.