Системы Reddit взломаны, украдены старые личные данные

Вы пользователь Reddit? Как долго вы его используете? Использовали ли вы его в 2007 году? Трудно вспомнить, не так ли? Если вам это удалось выяснить, и вы пользовались им более десяти лет назад в 2007 году, ваши личные данные могли быть украдены. Хакеры взломали системы Reddit и украли кэш данных пользователей, но это данные одиннадцатилетней давности.

Взлом

Конечно, Reddit - отличное место для чтения новостей и их обсуждения. На самом деле, таким он всегда был с 2005 года. Вам даже не нужно регистрироваться, чтобы читать контент, но если вы хотите публиковать свои собственные новости, голосовать за другие или обсуждать то, что читаете, вам нужно создать учетную запись.

Системы Reddit были взломаны в середине июня, и это было обнаружено 19 июня. Личные данные, которые были украдены, включали текущие адреса электронной почты и пароли из 2007 года.

“С тех пор мы проводим тщательное расследование, чтобы выяснить, что именно было доступно, и улучшить наши системы и процессы, чтобы предотвратить это в будущем,” сказал технический директор Reddit и один из основателей, Кристофер Слоу, в посте на Reddit.

news-reddit-hacked-01

Проблема с аутентификацией на основе SMS

Что сделало взлом возможным, так это то, что Reddit использовал устаревшую форму двухфакторной аутентификации для учетных записей сотрудников, согласно Слоу. Когда сотрудник входил в систему, он получал SMS-сообщение с одноразовым кодом, который нужно было ввести после пароля. Но эта система уже не считается безопасной, так как злоумышленникам слишком легко перехватить коды из сообщений.

“Мы узнали, что аутентификация на основе SMS вовсе не так безопасна, как мы надеялись, и основной атакой была перехват SMS,” объяснил Слоу. К счастью, они меняют свою систему входа для сотрудников, чтобы подобное больше не происходило.

Пароли, которые были украдены, были захешированы, что означает, что они прошли процесс шифрования, чтобы превратиться в длинную строку случайных символов, что усложняет их восстановление. Но хеширование улучшилось за последнее десятилетие, и старые методы теперь считаются легкими для взлома.

Национальный институт стандартов и технологий США заявил в 2016 году, что не будет рекомендовать аутентификацию на основе SMS в будущем. Год спустя они выпустили официальное руководство, показывающее риски, которые возникают при использовании аутентификации на основе SMS для защиты систем организаций.

news-reddit-hacked-hoodie

Слоу признал, что они не всегда могли избежать использования аутентификации на основе SMS из-за программного обеспечения третьих сторон, которое они использовали. Тем не менее, Слоу сообщает, что они “с тех пор решили эту проблему.” Он добавил: “Мы обращаем на это внимание, чтобы побудить всех перейти на токенизированную двухфакторную аутентификацию.”

Движение вперед

Вам страшно, что вы не меняли пароль Reddit с 2007 года? Слоу сказал, что они свяжутся с вами, если вы пострадали от этого взлома. Если ваш пароль был взломан, и вы все еще его используете, вам придется его изменить. Но, откровенно говоря, на этом этапе я не понимаю, почему вы не захотели бы его сменить.

“Независимо от того, побуждает ли вас Reddit изменить ваш пароль,” добавил Слоу, “подумайте, используете ли вы еще пароль, который использовали в Reddit одиннадцать лет назад, на каких-либо других сайтах сегодня.”

Вам страшно, что ваш пароль 2007 года был взломан? Вы пользовались Reddit в то время и забыли об этом, оставив свой пароль уязвимым? Дайте нам знать, каково ваше мнение насчет этого взлома Reddit.