Reddit взломан, утекла база с паролями и email за 2005-2007 годы

    Один из крупнейших социальных хабов интернета, Reddit, в среду заявил о проникновении киберпреступников в свою сеть.

    Злоумышленникам удалось получить доступ к различным данным: базе с email-адресами и хешированными паролями пользователей, зарегистрированных с 2005 по 2007 год, электронные письма пользователей, исходные коды, внутренние файлы и «все данные Reddit с 2007 года». Сообщается, что инцидент имел место между 14 и 18 июня 2018 года, и проникновение обнаружили 19 июня. Злоумышленники скомпрометировали нераскрываемое число сотрудников Reddit и проникли в «несколько систем», получив доступ к данным.

    image
    Иллюстрация от theguardian.com

    Представители Reddit официально признали факт взлома и изложили суть произошедшего в своем блоге:
    19 июня нам стало известно, что хакер скомпрометировал несколько учетных записей Reddit с доступом к облаку и исходному коду, перехватив коды проверки двухфакторной аутентификации, которые пришли по SMS
    Мы сотрудничаем с правоохранительными органами, делаем необходимое для устранения последствий текущей ситуации, а также постараемся сделать все, чтобы избежать подобных инцидентов в будущем. Пострадало лишь небольшое количество пользователей, которых мы уже успели уведомить


    Хакеры добрались вчастности до бэкапа БД, датированного маем 2007 года. Reddit был основан и заработал в 2005 году, и этот бэкап БД содержал всю информацию за два года работы сайта, в том числе весь его контент и сообщения пользователей (включая личные), а также хешированные пароли и соли для хэшей, актуальные на момент создания бэкапа.

    Представители компании утверждают, что преступники не получили доступа на запись на скомпрометированных серверах, а значит, не могли модифицировать какие-либо важные данные. Тем не менее, разработчики все равно усилили безопасность (в частности сменили ключи API) и мониторинг.

    Так же хакерам повезло добраться и до более свежих email-дайджестов, отправленным между 3 июня и 17 июня 2018 года. Эти подборки рекомендуемых постов для читателей портала содержат информацию о пользовательских именах и связанных с ними почтовых адресах.

    Сбой двухфакторной аутентификации на основе SMS


    Reddit использует обычную двухфакторную аутентификацию на основе SMS, чтобы защитить свои учетные записи сотрудников, требуя ввода одноразового кода доступа вместе с именем пользователя и паролем.

    Однако, как сообщил Reddit, именно эти текстовые сообщения хакеры и перехватили

    Кейт Грэм (Keith Graham), главный технический специалист SecureAuth + Core Security, прокомментировал ситуацию для the Guardian: «Хотя аутентификация на основе SMS популярна и гораздо более безопасна, чем просто пароль, широко известно, что она достаточно уязвима для злоумышленников, которые, используя ее бреши, уже взломали многих знаменитостей.

    Грэхем объяснил, что киберпреступники способны получить доступ к номеру телефона, на который отправляется двухфакторный код SMS:: «Например, киберпреступник просто может предоставить представителю компании мобильной связи адрес жертвы, последние 4 цифры номера социального страхования и, возможно, кредитную карту для трансфера номера мобильного телефона.

    «Это та информация, которая широко доступна в даркнете благодаря предыдущим утечкам баз данных, например Equifax».

    Последствия


    Некоторые вопросы вызывает тот факт, что если инцидент с безопасностью был обнаружен еще 19 июня 2018 года, то публично о нем сообщили лишь 1 августа 2018, т.е. более чем месяц спустя. Еще один интересный момент, в комментариях к новости об инциденте администраторы ресурса рассказали, что "наняли своего самого первого руководителя службы безопасности, и он начал работу всего 2,5 месяца назад".

    На данный момент скомпрометированные аккаунты пользователей всё ещё действуют, но их обладателям отправлены письма с инструкцией об изменении пароля.

    Кроме того, администраторы реддита ввели усовершенствованную двухфакторную аутентификацию для доступа к конфиденциальным данным. Пользователям Reddit рекомендовано сбросить и установить стойкий уникальный пароль и настроить подтверждение входа помощью кода, генерируемого приложением, а не через SMS.

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Вы пользутесь Реддитом?

    • 15,5%сижу там постоянно и больше чем на Хабре116
    • 1,1%пишу туда несколько раз в неделю8
    • 14,4%захожу почитать или написать что-то пару раз в месяц108
    • 13,9%есть аккаунт, но давно не заходил104
    • 36,2%иногда попадаю туда случайно по ссылкам из Гугла271
    • 15,5%слышал про этот сайт, но не заходил116
    • 3,5%не знаю, что это за сайт26
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 27

      +1
      Нам пора привыкать к новой реальности. Приватных данных нет, а есть только те, которые по какой-то непонятной причине пока не стали достоянием общественности.
      0

      Бекап 11 летней давности содержащий все и находящийся для сотрудников в онлайн доступе это сильно.


      Пора обновлять давно не меняемые пароли… и отказываться от SMS


      Перехват SMS это сильная команда если вспомнить перехват из-за устаревшего протокола наземного сегмента сотовой связи.


      В начале ссылка битая и как бы левый сайт, оригинал
      https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/


      Пользователям Reddit предложено сбросить пароль и настроить подтверждение входа в приложение с помощью кода, генерируемого специальным приложением, а не через SMS.

      Наверное будет лучше как в оригинале
      And, as in all things, a strong unique password and enabling 2FA (which we only provide via an authenticator app, not SMS) is recommended for all users, and be alert for potential phishing or scams.


      Пользователям Reddit предложено сбросить пароль, использовать оригинальные пароли и использовать двухфакторную авторизацию с через приложение, а не через SMS.

        0
        По битым ссылкам и опечаткам лучше всего в личные сообщения писать, а не в комментариях. Там ссылка правильная была, просто склеилась с другой.
        +4
        Сколько там времени ГДПР даёт на обнародование? Сутки? Трое?
          0
          Дааа, ребята попали сразу после ввода этого закона в действие.
            0
            А что насчёт наличия цели обработки ПДн в течении десятка лет, кто-нибудь читал их политику конфиденциальности?
            +2
            eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN
            В течение 72 часов они должны оповестить только свой надзорный орган. Если нет вероятности угрозы правам и свободам физическим лиц, или же были приняты меры из 34.3, то оповещение не обязательно.
            Article 33
            Notification of a personal data breach to the supervisory authority
            In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.
            Article 34
            Communication of a personal data breach to the data subject
            1. When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.

            3. The communication to the data subject referred to in paragraph 1 shall not be required if any of the following conditions are met
            (a)the controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption;
            (b)the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph 1 is no longer likely to materialise;
            (с)it would involve disproportionate effort. In such a case, there shall instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner.
            –6

            Никогда не любил пароли. Это типа кто узнал слово, тот и хозяин. Неужели нельзя было внедрить нечто лучшее?

              +3
              например?
                +1

                Ну вот Гугл УСБ ключи выдал сотрудникам

                  0
                  УСБ — это, по сути, «пароль на бумажке». Тоже не намного лучше, плюсы — подбор в таком случае невозможен, минусы — можно украсть. Идеального варианта не существует.
                    0

                    Для клиент-банков уже давно ключи для флешек и для токенов требуют ввода пароля. Это не пароль на бумажке.
                    В оригинале токен.

                +3
                действительно, чтоже мб лучше пароля, который хранится только у тебя в памяти(если бекенд не дебилы и захешировали пароль миллион раз)?
                — предлагаете проверку на днк каплей крови? вот вам фейковое направление на сдачу крови.
                — смс? фейковая АТС его перехватит.
                — хешированная осциллограмма головного мозга? да легко, через пару минут в допросной фбр, из вас его вынут при надобности. да и не факт что вы сами зайти сможете, будучи в не том состоянии, в котором осциллограмму снимали.
                — отпечатки пальцев… да… ну вы уже поняли в чем подвох)
                  +1
                  Никакая альтернатива не будет работать на 100% надёжно. По определению, для надёжной проверки необходимо следить не только за результатом проверки, но и за порядком её прохождения. Грубо говоря, пока за посетителем, прикладывающим палец к турникету, не наблюдает живой охранник и не контролирует, что человек прикладывает именно свой палец, а не палочку с резинкой — этот турникет защищает только от честных людей и дураков.

                  Абсолютно всё, что можно выдать дистанционному пользователю, может быть так или иначе подделано таким же дистанционным злоумышленником. Пароли ничем не лучше и ничем не хуже всех имеющихся альтернатив, зато совершенно бесплатны в плане реализации и требуют минимальный уровень подготовки пользователя.
                    –3

                    Дааа, минимальный. Как ставили люди 1234, так и будут ставить, и ничто их не научит. Пароли были ок для 80х, но сегодня они попросту нелепы

                      +1
                      Как выяснилось уже много раз (включая тот, о котором идёт речь в топике), ставить пароль 1234 на сайте, где нет возможности навредить в реальном мире — не просто умно, но ещё и правильно.
                        +2
                        Правильно это использовать менеджеры паролей и 16 значные пароли ко всему.
                      +1
                      > Абсолютно всё, что можно выдать дистанционному пользователю, может быть так или иначе подделано таким же дистанционным злоумышленником.

                      Смарткарты с сильной магиейкриптографией, никогда не покидающей пределы чипа? Ну, например, как банковские карты с чипом.
                    +3
                    бэкап БД содержал всю информацию за два года работы сайта, в том числе весь его контент и сообщения пользователей (включая личные), а также хешированные пароли и соли для хэшей, актуальные на момент создания бэкапа

                    Так пароли утекли или хеши от паролей? Измените заголовок на менее желтый.
                    +1
                    Так как перехватили смс, сделали port number по девичьей фамилии первой собаки, или ходили за сотрудниками с фейковой базой — вот что интересно.
                      0
                      Не зря же сделали yubikey
                      0
                      del (не туда)
                        0
                        Все это предсказуемо. В 2007 году некто поимел базу данных паролей реддит за 2005-2007 год а 2018 (или ранее) некто поломал того самого хакера который эти пароли увел в 2007. Ну и решил выложить эти уже устаревшие и никому уже не нужные данные. Ну и ради прикола их взял и выложил. Как то так.

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое