Reddit został zhakowany. Portal przyznaje - to słabe zabezpieczenia

Portal poinformował na swoim forum /announcements, o włamaniu na kilka kont administratora serwisu w dniach 14-18 czerwca. W raporcie przedstawiają, w jaki sposób doszło do złamania zabezpieczeń. Wygląda na to, że to przez SMS-y. Wdrożenie dwuskładnikowego uwierzytelnienia polegającego na przesłaniu wiadomości telefonicznej, najwyraźniej się nie sprawdza.

Jak czytamy na Reddicie: "19 czerwca dowiedzieliśmy się, że pomiędzy 14 a 18 czerwca kilka kont naszych pracowników zostało zaatakowanych u dostawców usług chmurowych i usług hostingu kodu źródłowego" - brzmi fragment oświadczenia. Reddit nie podaje, którego dostawcy to dotyczy, ale może chodzić o firmy GitHub lub AWS.

SMSy zamiast bronić, stały się kluczem. Hakerzy po prostu przejęli wiadomości i wykorzystali je do uwierzytelnienia. Nie wiadomo, w jaki sposób do tego doszło. Sytuacja pokazuje, jak słaby jest ten system, skoro pozwala włamać się praktycznie niezauważalnie, na jeden z największych portali świata.

Wniosków nie trzeba szukać daleko. Sam portal informuje, że uwierzytelnienie SMS-owe w dzisiejszych czasach jest przestarzałe. Należy zamienić ten sposób potwierdzania, na przykład na Google Authenticator. Jest o wiele trudniejszy do złamania, niż SMS.

Portal poinformował także, że w ręce hackerów mogły wpaść hasła użytkowników. Jednak może to dotyczyć jedynie użytkowników, którzy założyli konto przed 2007 rokiem i od tego czasu nie zmieniali hasła. Oszuści otrzymali dostęp do pełnej kopii danych Reddita z 2007 roku. Jednak nie ma strachu, jeśli was to rzeczywiście dotyczy, serwis sam zareaguje - dostaniecie e-maila z informacją i prośbą o zmianę hasła. Hakerzy mogli zdobyć co prawda więcej haseł, gdyż dostali się także do części logów. Nie zaszkodzi, jeśli dla pewności zmienicie hasło.

Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl