Оглавление:
Reddit, один из самых популярных в мире веб-сайтов, объявил 1 августа 2018 года, что он столкнулся с нарушением безопасности, в результате которого некоторые пользовательские данные были взломаны.
Нарушение в основном затрагивает Redditors, которые были на сайте с 2007 года или ранее, но даже если вы сделали свой аккаунт позже, вы все равно должны продолжать читать, так как есть вероятность, что некоторая информация все еще была раскрыта.
Что случилось?
В период с 14 по 18 июня этого года Reddit сообщает, что злоумышленник «скомпрометировал несколько учетных записей наших сотрудников с нашими поставщиками услуг облачного и исходного кода». Хотя была установлена двухфакторная аутентификация, это было сделано с помощью SMS, и злоумышленник смог захватить коды с помощью атаки с перехватом SMS.
Злоумышленнику не удалось получить разрешения на запись в Reddit, но ему удалось получить доступ для чтения к определенным системам сайта.
При этом Reddit отмечает, что злоумышленник получил:
Полная копия старой резервной копии базы данных, содержащей очень ранние данные пользователя Reddit - с момента запуска сайта в 2005 году до мая 2007 года.
С помощью этой резервной копии базы данных были получены имена пользователей, salted + hashed пароли, адреса электронной почты, общедоступный контент и личные сообщения (только если у вас была учетная запись Reddit в период с 2005 по май 2007 года).
Кроме того, злоумышленник также приобрел:
Журналы, содержащие дайджесты электронной почты, которые мы отправили в период с 3 по 17 июня 2018 года. Дайджесты связывают имя пользователя с соответствующим адресом электронной почты и содержат предлагаемые сообщения из избранных популярных и безопасных для работы подредакторов, на которые вы подписаны.
Что вы можете сделать, чтобы защитить себя
Ничего особенного, но, к счастью, Reddit уже работает над тем, чтобы обеспечить защиту любых потенциально затронутых пользователей.
Если ваша учетная запись была создана в период с 2004 года по май 2007 года, Reddit в настоящее время рассылает сообщения / электронные письма с дальнейшими инструкциями о том, что делать. Кроме того, любые учетные записи, которые были активны в течение этого времени, вынуждены сбрасывать свой пароль.
Даже если Reddit не заставляет вас сбрасывать свой пароль, в любом случае это хорошая идея, чтобы убедиться, что все ваши базы покрыты. Если вы еще не используете менеджер паролей, самое время это изменить.
Более того, двухфакторная аутентификация - это то, что каждый должен использовать сейчас. И, если у вас есть возможность, всегда используйте это с системой на основе токенов, а не через SMS.
Почему вы (и ваша семья) должны использовать 2FA и менеджер паролей
