Hakovan Reddit,napadači ukrali bazu podataka iz 2007. godine

Vesti, 02.08.2018, 09:30 AM

Hakovan Reddit,napadači ukrali bazu podataka iz 2007. godine

Reddit je objavio da je neidentifikovani napadač hakovao naloge nekoliko zaposlenih tako što je zaobišao dvofaktornu autentikaciju (2FA) i ukrao neke informacije kao što su email adrese, logovi i rezervnu kopiju baze podataka iz 2007. koja sadrži stare saltovane i hashovane lozinke.

Napad se dogodio između 14. juna i 18. juna a Reddit ovaj upad otkrio 19. juna. Posle napada, Reddit je preduzeo mere za zaštitu svojih sistema.

Iz Reddita kažu da napadač (ili više njih) nije mogao da izmeni informacije Reddita. Međutim, on je uspeo da preuzme staru rezervnu kopiju Reddita od maja 2007. godine. Reddit je rekao da ova rezervna kopija sadrži podatke o korisnicima koji su bili aktivni na sajtu od pokretanja sajta 2005. godine do maja 2007. godine, kada je i napravljena rezervna kopija. Najznačajniji podaci sadržani u ovoj rezervnoj kopiji su korisnička imena i lozinke, email adrese i sav sadržaj (uglavnom javne, ali i privatne poruke) iz tog vremena.

Korisnici koji su se registrovali posle maja 2007., kao poruke i postovi objavljeni nakon tog datuma smatraju se sigurnim.

Reddit je takođe saopštio da je haker preuzeo i email sažetke poslate 3. i 17. juna 2018. godine. Sažeci povezuju korisničko ime sa pridruženom email adresom a sadrže predložene poruke iz izabranih popularnih i sigurnih subreddita na koje ste ste pretplaćeni, objasnili su iz Reddita.

Društvena platforma je saopštila da će svi korisnici čiji su podaci kompromitovani biti obavešteni putem Reddit poruke. Od korisnika koji i dalje koriste lozinke iz 2007. biće zatraženo da ih promene.

Reddit je rekao i da je haker pristupio izvornom kodu kompanije, internim fajlovima, konfiguracijama i radnim fajlovima zaposlenih.

Reddit je povezao incident sa tim što je haker uspeo da zaobiđe 2FA tako što je presreo SMS-ove za telefonske brojeve nekih od svojih zaposlenih a time i 2FA kodove potrebne za pristup nalozima zaposlenih. To znači da je napadač znao lozinke za pristup nalozima zaposlenih, iako je to bio glavni razlog da se uvedu sistemi za verifikaciju u dva koraka kao što je 2FA, da bi se zaštitili nalozi u situaciji u kojoj napadač zna lozinku.

Reddit je rekao da je zaposlenima umesto dvofaktorne autentifikacije bazirane na SMS-ovima obezbedio 2FA baziranu na tokenu i pozvao druge kompanije i korisnike da učine isto. Drugi detalji o ovom incidentu su dostupni na sajtu Reddita.

Američki nacionalni institut za standarde i tehnologiju (NIST) savetovao je da ne koristi SMS 2FA, a naučnici su još pre nekoliko godina zaobišli SMS 2FA, ali u poslednjih nekoliko nedelja, dokazano je da je SMS 2FA savladan u stvarnom svetu. Ipak, uprkos tome, istraživači smatraju da je bolje koristiti SMS 2FA nego ne koristiti nijedan takav mehanizam zaštite.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi fišing napad može da prevari i najopreznije među vama

Novi fišing napad može da prevari i najopreznije među vama

Kako proveravate da li je web sajt koji traži vaše korisničko ime i lozinku lažan ili pravi? Proveravate li da li je URL ispravan? Proveravate li ... Dalje

Podaci 127 miliona naloga sa 8 popularnih sajtova prodavani na Dark Webu

Podaci 127 miliona naloga sa 8 popularnih sajtova prodavani na Dark Webu

Haker koji je prodavao informacije o skoro 620 miliona online naloga ukradenih sa 16 popularnih sajtova stavio je na prodaju na Dark Webu podatke 127 ... Dalje

Hakeri uništili VFEmail servis, obrisali sve podatke i rezervne kopije

Hakeri uništili VFEmail servis, obrisali sve podatke i rezervne kopije

Zamislite da se jednog jutra probudite i saznate da su svi vaši podaci, vaši dokumenti, emailovi, slike, vaše rezervne kopije, jednostavno nestali,... Dalje

WhatsApp pod pritiskom indijskih vlasti koje traže mogućnost pristupa privatnim porukama korisnika

WhatsApp pod pritiskom indijskih vlasti koje traže mogućnost pristupa privatnim porukama korisnika

Facebook je ponovo pod pritiskom u Indiji, jer lokalna vlada želi da kompanija omogući pristup privatnim porukama korisnika WhatsAppa, koji je u vl... Dalje

Rusija planira test sa potpunim ''isključivanjem sa interneta''

Rusija planira test sa potpunim ''isključivanjem sa interneta''

Rusija planira da na kratko prekine vezu sa globalnim internetom, u sklopu eksperimenta koji je osmišljen kao provera sposobnosti zemlje da se odbran... Dalje