Hakovan Reddit,napadači ukrali bazu podataka iz 2007. godine

Vesti, 02.08.2018, 09:30 AM

Hakovan Reddit,napadači ukrali bazu podataka iz 2007. godine

Reddit je objavio da je neidentifikovani napadač hakovao naloge nekoliko zaposlenih tako što je zaobišao dvofaktornu autentikaciju (2FA) i ukrao neke informacije kao što su email adrese, logovi i rezervnu kopiju baze podataka iz 2007. koja sadrži stare saltovane i hashovane lozinke.

Napad se dogodio između 14. juna i 18. juna a Reddit ovaj upad otkrio 19. juna. Posle napada, Reddit je preduzeo mere za zaštitu svojih sistema.

Iz Reddita kažu da napadač (ili više njih) nije mogao da izmeni informacije Reddita. Međutim, on je uspeo da preuzme staru rezervnu kopiju Reddita od maja 2007. godine. Reddit je rekao da ova rezervna kopija sadrži podatke o korisnicima koji su bili aktivni na sajtu od pokretanja sajta 2005. godine do maja 2007. godine, kada je i napravljena rezervna kopija. Najznačajniji podaci sadržani u ovoj rezervnoj kopiji su korisnička imena i lozinke, email adrese i sav sadržaj (uglavnom javne, ali i privatne poruke) iz tog vremena.

Korisnici koji su se registrovali posle maja 2007., kao poruke i postovi objavljeni nakon tog datuma smatraju se sigurnim.

Reddit je takođe saopštio da je haker preuzeo i email sažetke poslate 3. i 17. juna 2018. godine. Sažeci povezuju korisničko ime sa pridruženom email adresom a sadrže predložene poruke iz izabranih popularnih i sigurnih subreddita na koje ste ste pretplaćeni, objasnili su iz Reddita.

Društvena platforma je saopštila da će svi korisnici čiji su podaci kompromitovani biti obavešteni putem Reddit poruke. Od korisnika koji i dalje koriste lozinke iz 2007. biće zatraženo da ih promene.

Reddit je rekao i da je haker pristupio izvornom kodu kompanije, internim fajlovima, konfiguracijama i radnim fajlovima zaposlenih.

Reddit je povezao incident sa tim što je haker uspeo da zaobiđe 2FA tako što je presreo SMS-ove za telefonske brojeve nekih od svojih zaposlenih a time i 2FA kodove potrebne za pristup nalozima zaposlenih. To znači da je napadač znao lozinke za pristup nalozima zaposlenih, iako je to bio glavni razlog da se uvedu sistemi za verifikaciju u dva koraka kao što je 2FA, da bi se zaštitili nalozi u situaciji u kojoj napadač zna lozinku.

Reddit je rekao da je zaposlenima umesto dvofaktorne autentifikacije bazirane na SMS-ovima obezbedio 2FA baziranu na tokenu i pozvao druge kompanije i korisnike da učine isto. Drugi detalji o ovom incidentu su dostupni na sajtu Reddita.

Američki nacionalni institut za standarde i tehnologiju (NIST) savetovao je da ne koristi SMS 2FA, a naučnici su još pre nekoliko godina zaobišli SMS 2FA, ali u poslednjih nekoliko nedelja, dokazano je da je SMS 2FA savladan u stvarnom svetu. Ipak, uprkos tome, istraživači smatraju da je bolje koristiti SMS 2FA nego ne koristiti nijedan takav mehanizam zaštite.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Microsoft povukao Huawei uređaje iz svoje online prodavnice

Microsoft  povukao Huawei uređaje iz svoje online prodavnice

Microsoft je još jedna od američkih kompanija za koju se očekuje da će prekinuti svoje veze sa Huaweijem nakon što je prošle nedelje američki ... Dalje

Procurela baza podataka sa informacijama o milionima korisnika Instagrama

Procurela baza podataka sa informacijama o milionima korisnika Instagrama

Istraživač Anurag Sen otkrio je ogromnu bazu podataka koja sadrži privatne kontakt informacije, uključujući brojeve telefona i email adrese oko ... Dalje

Za 11 godina stari laptop zaražen čuvenim malverima na aukciji ponuđeno skoro 1,3 miliona dolara

Za 11 godina stari laptop zaražen čuvenim malverima na aukciji ponuđeno skoro 1,3 miliona dolara

Laptop koji je namerno zaražen sa šest ozloglašenih malvera, uključujući čuvene malvere WannaCry i ILoveIou, prodaje se na aukciji u SAD kao um... Dalje

Sankcije protiv kompanije Huawei suspendovane na 90 dana, osnivač kompanije kaže da ih SAD potcenjuju

Sankcije protiv kompanije Huawei suspendovane na 90 dana, osnivač kompanije kaže da ih SAD potcenjuju

Osnivač kompanije Huawei, Ren Žengfej, komentarišući najnoviji potez američke administracije usmeren protiv kineske kompanije, rekao je da SAD "p... Dalje

Google priznao da je od 2005. deo lozinki korisnika G Suite čuvao u običnom tekstu

Google priznao da je od 2005. deo lozinki korisnika G Suite čuvao u običnom tekstu

Facebook nije jedina velika tehnološka kompanija koja čuva lozinke u obliku običnog teksta. Google je upozorio korisnike G Suite da je zbog "grešk... Dalje