Вы пользователь Reddit? Как долго вы им пользуетесь? Вы использовали его в 2007 году? Трудно запомнить, не так ли? Если вы это выяснили и использовали его более десяти лет назад, в 2007 году, ваша личная информация могла быть украдена. Хакеры взломали системы Reddit и украли кэш пользовательских данных, но этим данным одиннадцать лет.
Нарушение
Конечно, Reddit — отличное место, если вам нравится читать новости, а затем обсуждать их. Фактически, так было всегда, с 2005 года. Вам даже не нужно регистрироваться, чтобы читать там контент, но если вы хотите публиковать свои собственные новости, голосовать за других или обсуждать то, что вы читаете, вам нужно есть аккаунт.
Системы Reddit были взломаны в середине июня и обнаружены 19 июня. Похищенная личная информация включала текущие адреса электронной почты и пароли с 2007 года.
«С тех пор мы проводим кропотливое расследование, чтобы выяснить, к чему именно был осуществлен доступ, и улучшить наши системы и процессы, чтобы предотвратить повторение этого», — сказал технический директор и основатель Reddit. инженер Кристофер Слоу в сообщении на Reddit.
Проблема аутентификации по SMS
По словам Слоу, взлом стал возможен потому, что Reddit использовал устаревшую форму двухфакторной аутентификации в учетных записях сотрудников. Когда сотрудник вошел в систему, он получил SMS-сообщение с одноразовым кодом, который нужно ввести после пароля. Но эта система уже не считается безопасной, так как злоумышленникам слишком легко перехватить коды из СМС.
«Мы узнали, что аутентификация на основе SMS не так безопасна, как мы надеялись, и основная атака заключалась в перехвате SMS», — объяснил Слоу. К счастью, они меняют систему входа в систему, чтобы подобное больше не повторилось.
Украденные пароли были хешированы, то есть прошли процесс шифрования, чтобы превратить их в длинную строку случайных символов, чтобы затруднить их повторное соединение. Но за последнее десятилетие хеширование улучшилось, и теперь считается, что старые методы легко взломать.
В 2016 году Национальный институт стандартов и технологий США заявил, что не будет рекомендовать дальнейшее развитие аутентификации на основе SMS. Год спустя они выпустили официальное руководство, показывающее риски, возникающие при использовании аутентификации на основе SMS для защиты систем организации.
Слоу признал, что им не всегда удавалось избежать использования аутентификации на основе SMS из-за стороннего программного обеспечения, которое они использовали. Однако Слоу сообщает, что они «с тех пор решили эту проблему». Он добавил: «Мы указываем на это, чтобы побудить всех здесь перейти на двухфакторную аутентификацию на основе токенов».
Движение вперед
Вы обеспокоены тем, что не меняли пароль Reddit с 2007 года? Слоу сказал, что они свяжутся с вами, если вы пострадали от этого нарушения. Если ваш пароль был взломан, и вы все еще используете его, вам придется сбросить его. Но, честно говоря, на данный момент я не понимаю, почему вы не хотите его сбросить.
«Независимо от того, предложит ли Reddit вам сменить пароль, — добавил Слоу, — подумайте, используете ли вы сегодня пароль, который использовали на Reddit одиннадцать лет назад, на каких-либо других сайтах».
Вы обеспокоены тем, что ваш пароль 2007 года был взломан? Вы тогда использовали Reddit и забыли об этом, оставив свой пароль уязвимым? Сообщите нам, как вы относитесь к этому взлому Reddit.
