Hakovan Reddit,napadači ukrali bazu podataka iz 2007. godine

Vesti, 02.08.2018, 09:30 AM

Hakovan Reddit,napadači ukrali bazu podataka iz 2007. godine

Reddit je objavio da je neidentifikovani napadač hakovao naloge nekoliko zaposlenih tako što je zaobišao dvofaktornu autentikaciju (2FA) i ukrao neke informacije kao što su email adrese, logovi i rezervnu kopiju baze podataka iz 2007. koja sadrži stare saltovane i hashovane lozinke.

Napad se dogodio između 14. juna i 18. juna a Reddit ovaj upad otkrio 19. juna. Posle napada, Reddit je preduzeo mere za zaštitu svojih sistema.

Iz Reddita kažu da napadač (ili više njih) nije mogao da izmeni informacije Reddita. Međutim, on je uspeo da preuzme staru rezervnu kopiju Reddita od maja 2007. godine. Reddit je rekao da ova rezervna kopija sadrži podatke o korisnicima koji su bili aktivni na sajtu od pokretanja sajta 2005. godine do maja 2007. godine, kada je i napravljena rezervna kopija. Najznačajniji podaci sadržani u ovoj rezervnoj kopiji su korisnička imena i lozinke, email adrese i sav sadržaj (uglavnom javne, ali i privatne poruke) iz tog vremena.

Korisnici koji su se registrovali posle maja 2007., kao poruke i postovi objavljeni nakon tog datuma smatraju se sigurnim.

Reddit je takođe saopštio da je haker preuzeo i email sažetke poslate 3. i 17. juna 2018. godine. Sažeci povezuju korisničko ime sa pridruženom email adresom a sadrže predložene poruke iz izabranih popularnih i sigurnih subreddita na koje ste ste pretplaćeni, objasnili su iz Reddita.

Društvena platforma je saopštila da će svi korisnici čiji su podaci kompromitovani biti obavešteni putem Reddit poruke. Od korisnika koji i dalje koriste lozinke iz 2007. biće zatraženo da ih promene.

Reddit je rekao i da je haker pristupio izvornom kodu kompanije, internim fajlovima, konfiguracijama i radnim fajlovima zaposlenih.

Reddit je povezao incident sa tim što je haker uspeo da zaobiđe 2FA tako što je presreo SMS-ove za telefonske brojeve nekih od svojih zaposlenih a time i 2FA kodove potrebne za pristup nalozima zaposlenih. To znači da je napadač znao lozinke za pristup nalozima zaposlenih, iako je to bio glavni razlog da se uvedu sistemi za verifikaciju u dva koraka kao što je 2FA, da bi se zaštitili nalozi u situaciji u kojoj napadač zna lozinku.

Reddit je rekao da je zaposlenima umesto dvofaktorne autentifikacije bazirane na SMS-ovima obezbedio 2FA baziranu na tokenu i pozvao druge kompanije i korisnike da učine isto. Drugi detalji o ovom incidentu su dostupni na sajtu Reddita.

Američki nacionalni institut za standarde i tehnologiju (NIST) savetovao je da ne koristi SMS 2FA, a naučnici su još pre nekoliko godina zaobišli SMS 2FA, ali u poslednjih nekoliko nedelja, dokazano je da je SMS 2FA savladan u stvarnom svetu. Ipak, uprkos tome, istraživači smatraju da je bolje koristiti SMS 2FA nego ne koristiti nijedan takav mehanizam zaštite.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakeri mogu pogoditi lozinke samo slušajući korisnike dok kucaju

Hakeri mogu pogoditi lozinke samo slušajući korisnike dok kucaju

Slušajući korisnike kako kucaju na tastaturi, hakeri mogu da pogode njihove lozinke, tvrde istraživači Instituta za informatičku bezbednost Darvi... Dalje

Microsoft upozorava na fišing napade sa 404 error stranica

Microsoft upozorava na fišing napade sa 404 error stranica

Microsoftovi istraživači otkrili su neobičnu fišing kampanju u kojoj se koriste prilagođene 404 stranice o grešci da bi se potencijalne žrtve p... Dalje

KNOB napad: špijuniranje preko Bluetootha

KNOB napad: špijuniranje preko Bluetootha

Grupa naučnika otkrila je kritičnu sigurnosnu ranjivost u protokolu Bluetooth bežične komunikacije, koja milione uređaja čini podložnim napadim... Dalje

Pola godine rada ekstenzije Password Checkup: 1,5% lozinki korisnika je kompromitovano

Pola godine rada ekstenzije Password Checkup: 1,5% lozinki korisnika je kompromitovano

U februaru ove godine Google je najavio dodatak Password Checkup (Provera lozinke), koji automatski proverava korisnička imena i lozinke sa kojima se... Dalje

Kabl za punjenje iPhonea može se koristiti za hakovanje i infekciju računara

Kabl za punjenje iPhonea može se koristiti za hakovanje i infekciju računara

Kada kupite iPhone dobijate i jedan standardni kabl za punjenje. Mnogi ljudi posežu za alternativama dostupnim na tržištu kada izgube ili oštete o... Dalje