Shop menü

FELHASZNÁLÓI ADATOKAT LOPTAK A REDDITTŐL

A hackerek szerencsére csak régi, 2005 és 2007 között keletkezett adatokhoz fértek hozzá, ami így is kellemetlen, éppen ezért a Reddit csapata meg is tette a szükséges lépéseket a védelem növelése érdekében.
Víg Ferenc (J.o.k.e.r)
Víg Ferenc (J.o.k.e.r)
Felhasználói adatokat loptak a Reddittől

A Reddit belsős vizsgálatai szerint nemrégiben támadás érte a cég egyik adatmentését, amelyet a vállalat egyik felhőszolgáltatójánál tároltak. Az adatlopásra június 19-én derült fény, a szükséges intézkedéseket pedig időben meghozták. A hackerek június 14-e és június 18-a között támadtak.

Galéria megnyitása
A hackereknek a támadáshoz szükségük volt a Reddit dolgozók felhasználói fiókjainak adataira, amit nem egy nehéz feladat megszerezni, főleg, ha az adott munkatárs sosem változtatja meg a jelszavát és jelszó-menedzsert sem használ. Ezzel együtt – mivel a cégnél SMS alapú kétfaktoros hitelesítést használtak –, szükség volt a hitelesítő kód megszerzésére is, amit többféle módszerrel is megkaparinthattak. Egyrészt használhatták a Signaling System Seven (SS7) rendszer ismert biztonsági rését, amit a szolgáltatók azóta sem voltak hajlandóak befoltozni, de némi türkkel akár a dolgozók telefonszámait is átirányíthatták saját telefonjaikra.

Miután a támadók megszerezték a szükséges adatokat, egy régi felhasználói adatokat tartalmazó adatbázis-mentéshez fértek hozzá, amely 2005 és 2007 között keletkezett adatokat tartalmazott. Az adatbázisban felhasználónevek, hashelt és sózott jelszavak, e-mail címek, publikus hozzászólások és privát üzenetek egyaránt jelen vannak.

A Reddit szakemberei az érintett felhasználói fiókok jelszavát törölték, valamint a felhasználókat is értesítették, adjanak meg új, biztonságos jelszót. Jelszó-cserére azoknál a szolgáltatásoknál is szükség lesz, amelyeknél az adott felhasználó ugyanazt a jelszót használta, mint a Reddit-en. Elméletileg azok, akik 2007 után regisztráltak, biztonságban vannak.

Az információk szerint a támadók néhány loghoz is hozzájutottak, amelyek 2018. június 3-a és 17-e között keletkezett e-mail értesítők adatait tartalmazták, méghozzá felhasználónevekkel és e-mail-címekkel együtt. Ez a szivárgás csak azokat a felhasználókat érinti, akik rendelkeznek Reddit fiókhoz kapcsolt e-mail címmel és aktiválták az E-mail alapú értesítéseket küldő E-mail digest funkciót, ami alap esetben inaktív. A Reddit szerint azok, akik aggódnak a felhasználónevük és az e-mail címük esetleges összekapcsolása miatt, vessenek néhány pillantást azokra a tippekre, amelyek a különböző tartalmak eltávolításában segítenek. Ha esetleg olyan tartalom is kapcsolódik az adott fiókhoz, amely miatt inkább elrejtenénk kilétünket.

Galéria megnyitása

A Reddit az eset kapcsán megszüntette az SMS alapú kétfaktoros hitelesítést a dolgozók esetében, így ők most már U2F biztonsági kulcsok segítségével jelentkeznek be felhasználói fiókjaikba. Erre az átlagfelhasználóknak sajnos még nincs lehetőségük, de a Reddit szakemberi így is adtak pár tippet, mire érdemes figyelni. Érdemes kellően erős, kellően hosszú jelszót használni, amit más szolgáltatásnál nem alkalmazunk, valamint egy alkalmazás-alapú hitelesítő szolgáltatást is érdemes igénybe venni, így a kétfaktoros hitelesítés révén extra védelemhez juthatunk. A kétfaktoros hitelesítéshez a Google Authenticator vagy az Authy appot használhatjuk.

Neked ajánljuk

    Tesztek

      Kapcsolódó cikkek

      Vissza az oldal tetejére