Hackere få adgang til brugernavne, adgangskoder og e-mail-adresser i strid med en af verdens største websites
Thu 2 Aug 2018 12.30 BST
Sidst opdateret Tor 2 Aug 2018 12.31 BST
‘Reddit er en af verdens største hjemmesider, så et hack af alle data på dette niveau er noget af en præstation,” sagde Jake Moore, sikkerhed specialist hos ESET.
Foto: Leon Neal/Getty Images
Reddit har pådraget sig et brud på datasikkerheden gå på kompromis med brugernavne, adgangskoder og e-mail-adresser over grupper af brugere, som stedet har bekræftet.
Mens størrelsen af bruddet er endnu ikke afklaret, Reddit sagde to datasæt, der havde været benyttet af hackere, herunder en fra 2007 med konto oplysninger og alle offentlige og private stillinger fra 2005 til Maj 2007.
Den anden data butik i prisen logs og databaser, der er knyttet til Reddit ‘ s daily digest e-mails, der var adgang til mellem 3 og 17 juni i år. De data, der indeholder brugernavne og e-mail-adresser, der er knyttet til disse konti.
Jake Moore, sikkerhed specialist hos ESET, sagde: “Reddit er en af verdens største hjemmesider, så et hack af alle data på dette niveau er lidt af en bedrift.”
Reddit sagde, at overtrædelsen blev opdaget på 19 juni efter angrebet sker fire dage før. Hackere brød ind ved hjælp af kompromitterede medarbejder konti, der er beskyttet ved hjælp af SMS to-faktor autentificering.
Stedet sagde, at det var messaging berørte brugere. Reddit chief technology officer Christopher Slowe sagde: “Hvis din konto legitimationsoplysninger, der blev ramt, og der er en chance for de legitimationsoplysninger, der vedrører den adgangskode, du bruger i øjeblikket på Reddit, vi vil få dig til at nulstille dit Reddit-konto.”
“Uanset om eller ikke Reddit bliver du bedt om at ændre dit password, skal du tænke over, om du stadig bruge den adgangskode, du brugte på Reddit 11 år siden på alle andre sites i dag.
“Hvis din e-mail-adresse, der blev ramt, kan du overveje om der er noget på din Reddit-konto, som du ikke ønsker, der er forbundet tilbage til denne adresse.”
SMS-baseret to-faktor-autentificering brudt
Reddit bruger den fælles SMS-baseret to-faktor-autentificering for at beskytte de ansattes konti, der kræver en engangs-adgangskoden skal indtastes sammen med et brugernavn og en adgangskode.
Men Reddit sagde, at hackere havde opfanget dem, sms-beskeder.
Keith Graham, chief technology officer for SecureAuth + Core Sikkerhed, sagde: “Mens SMS-baseret godkendelse er populær og meget mere sikker end adgangskode alene, det er almindeligt kendt at være sårbart over for it-kriminelle, der har hacket mange berømtheder, der bruger denne metode.
Graham har forklaret, at it-kriminelle er i stand til at få adgang til et telefonnummer, som en SMS-to-faktor-kode er sendt. Han sagde: “For eksempel, en cyberkriminel ville simpelthen nødt til at give en udbyder af trådløse tjenester, en adresse, de sidste 4 cifre i et cpr-nummer og måske et kreditkort til at overføre et telefonnummer.
“Det er netop den type af data, som er almindeligt tilgængelige på the dark web tak til stor database brud som Equifax.”
- Åben racisme og nedværdigelser er fin til indlæg på Reddit, siger administrerende DIREKTØR