Reddit został zhakowany. Portal przyznaje - to słabe zabezpieczenia
Reddit to jeden z największych portali internetowych, chociaż wielu o nim pewnie nie słyszało. Jeszcze niedawno zajmował 6. miejsce w rankingu stałej ilości użytkowników. Okazuje się, że nawet na tak duży portal można łatwo się włamać.
02.08.2018 08:39
Portal poinformował na swoim forum /announcements, o włamaniu na kilka kont administratora serwisu w dniach 14-18 czerwca. W raporcie przedstawiają, w jaki sposób doszło do złamania zabezpieczeń. Wygląda na to, że to przez SMS-y. Wdrożenie dwuskładnikowego uwierzytelnienia polegającego na przesłaniu wiadomości telefonicznej, najwyraźniej się nie sprawdza.
Jak czytamy na Reddicie: "19 czerwca dowiedzieliśmy się, że pomiędzy 14 a 18 czerwca kilka kont naszych pracowników zostało zaatakowanych u dostawców usług chmurowych i usług hostingu kodu źródłowego" - brzmi fragment oświadczenia. Reddit nie podaje, którego dostawcy to dotyczy, ale może chodzić o firmy GitHub lub AWS.
SMSy zamiast bronić, stały się kluczem. Hakerzy po prostu przejęli wiadomości i wykorzystali je do uwierzytelnienia. Nie wiadomo, w jaki sposób do tego doszło. Sytuacja pokazuje, jak słaby jest ten system, skoro pozwala włamać się praktycznie niezauważalnie, na jeden z największych portali świata.
Wniosków nie trzeba szukać daleko. Sam portal informuje, że uwierzytelnienie SMS-owe w dzisiejszych czasach jest przestarzałe. Należy zamienić ten sposób potwierdzania, na przykład na Google Authenticator. Jest o wiele trudniejszy do złamania, niż SMS.
Portal poinformował także, że w ręce hackerów mogły wpaść hasła użytkowników. Jednak może to dotyczyć jedynie użytkowników, którzy założyli konto przed 2007 rokiem i od tego czasu nie zmieniali hasła. Oszuści otrzymali dostęp do pełnej kopii danych Reddita z 2007 roku. Jednak nie ma strachu, jeśli was to rzeczywiście dotyczy, serwis sam zareaguje - dostaniecie e-maila z informacją i prośbą o zmianę hasła. Hakerzy mogli zdobyć co prawda więcej haseł, gdyż dostali się także do części logów. Nie zaszkodzi, jeśli dla pewności zmienicie hasło.