Reddit Admits It Was Hacked And Data Stolen, Says “Don’t Panic”

הועלה מחדש על ידי אפלטון

עוקב: 0

אתר המדיה החברתית הפופולרית Reddit - "Usenet כתום עם פרסומות", כפי ששמענו אותו מתאר באופן קצת לא חביב - הוא נכס האינטרנט הידוע האחרון שסבל נתוני פרה שבו נגנב קוד המקור שלו.

בשבועות האחרונים, LastPass ו GitHub התוודו על חוויות דומות, כאשר פושעי רשת כנראה פורצים ונכנסים כמעט באותו אופן: על ידי זיהוי קוד גישה חי או סיסמה עבור איש צוות בודד, והתגנבות בחסות הזהות הארגונית של אותו אדם.

במילים של Reddit עצמו:

מערכות Reddit נפרצו כתוצאה ממתקפת פישינג מתוחכמת וממוקדת במיוחד. הם קיבלו גישה לכמה מסמכים פנימיים, לקוד ולכמה מערכות עסקיות פנימיות.

אנחנו לא בטוחים עד כמה מתאים שם התואר "מתוחכם" כאן, לא מעט משום ש-Reddit ממשיכה במהירות ומצהירה כי:

כמו ברוב מסעות הפרסום הדיוגים, התוקף שלח הנחיות שנשמעות סבירות שהצביעו על עובדים לאתר אינטרנט ששיבט את ההתנהגות של שער האינטראנט שלנו, בניסיון לגנוב אישורים ואסימוני גורם שני.

לאחר שהשיג בהצלחה אישורים של עובד בודד, התוקף השיג גישה לכמה מסמכים פנימיים, קוד, כמו גם כמה לוחות מחוונים פנימיים ומערכות עסקיות. אנחנו לא מראים שום סימנים להפרה של מערכות הייצור העיקריות שלנו (החלקים של המחסנית שלנו שמפעילים את Reddit ומאחסנים את רוב הנתונים שלנו).

במילים אחרות, המתקפה הזו הצליחה כמעט בוודאות לא בגלל שהיא הייתה מתוחכמת, אלא כי זה לא היה.

מישהו, אולי מיהר, הגיע למה שהם חשבו שהוא הגבול, מסר את הדרכון שלו למטייל במקום לסוכן גבול רשמי, ואז מצא את עצמו לכוד בשום מקום ללא תעודת זהות בזמן שהמתחזה הפליג דרכו. מעבר הגבול בשמם.

הגורם החשוב ביותר במתקפת חטיפת זהות מסוג זה אינו תחכום אלא, כפי ש- Reddit ציינה בצדק לעיל, סבירות, מה שמקל אפילו על אנשים מעודכנים וזהירים "לעבור" על סמך הרגל וניסיון.

הסיכון הנובע מהתנהגות רגילה הוא הסיבה לכך שהשילוט הרשמי של הכבישים הבריטי כולל מלבן אדום בוהק המכיל את המילים NEW ROAD LAYOUT AHEAD המשמש כאשר חלק כביש עמוס מתארגן מחדש. השלט אינו שם כדי להגן על אנשים ותיקים ממשתמשי כביש חדשים ועצבניים שעלולים למצוא מסובך צומת גדול או כיכר. זה שם כדי להגן על המשתמשים החדשים, שאין להם ברירה אלא לעבוד בזהירות מהעקרונות הראשונים, ולכן סביר להניח שהם פועלים לפי חוקי הדרך בסדר גמור, מפני אנשים ותיקים שחושבים שהם "יודעים" איך התנועה תתנהג במיקום זה, וכן לכן הפליגו ברשלנות, בהתבסס על הנחות שגויות והתנהגות "לומדת-אך-עכשיו-לא נכונה".

.s-button+.s-button { margin-left: .3125rem; } .s-button { transition: all .15s ליניארי; גודל גופן: .875rem; גובה קו: 1.5; צבע: #f2f2f2; משפחת גופנים: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; תצוגה: בלוק מוטבע; ריפוד: .3125rem 1.25rem; סמן: מצביע; יישור טקסט: מרכז; קישוט טקסט: אין; גבול: 1px מוצק #005bc8; border-radius: 3px; צבע רקע: #005bc8; text-shadow: אין; } .s-button:hover { text-decoration: none; צבע: #fff; צבע גבול: #002d62; צבע רקע: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !important; צבע גבול: #fff; צבע רקע: #fff; } .s-ad-sophos-mdr { font-size: 1rem; גובה קו: 1.5; צבע: #242629; font-family: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; עמדה: קרוב משפחה; רוחב מקסימלי: 769 פיקסלים; שוליים: 15px אוטומטי; ריפוד: 30px 30px 25px; transition: box-shadow .25s cubic-bezier( .645, .045, .355, 1 ); יישור טקסט: מרכז; צבע רקע: #0d141d; רקע-חזרה: אין-חזרה; מיקום רקע: 50%; רקע-גודל: כריכה; קופסא-צל: 0 0 0 0 0 שקוף; צבע רקע: #005bc8; רקע-תמונה: אין; מיקום רקע: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; גובה קו: 1.125; margin-bottom: 4px; צבע: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; גודל גופן: 17px; צבע: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { color: #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { מיקום: מוחלט; למעלה: 15px; מימין: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; רוחב: 64 פיקסלים; גובה: 11 פיקסלים; יישור אנכי: למעלה; רקע-חזרה: אין-חזרה; גודל רקע: 64px 11px; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; גודל גופן: 28px; משקל גופן: 700; גובה קו: 1; margin-bottom: 10px; יישור טקסט: שמאלה; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; גובה קו: 1.25; יישור טקסט: שמאלה; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-width:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { מיקום: מוחלט; מימין: 30 פיקסלים; תחתון: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

עד לאן הגיעו הנוכלים?

כפי שכבר נאמר, התוקפים ניגשו לחלק מהמערכות הפנימיות של Reddit עצמו.

בנוסף ל"מסמכים" ו"קוד" הנשמעים בעיקר לא מזיקים המפורטים לעיל, Reddit הודתה שמידע על עובדים ו"אנשי קשר" בעבר ובהווה (אנו מניחים שזה כולל, אך לא מוגבל ל, קבלנים ואחרים עובדים שאינם קבועים) נגנבו, יחד עם מידע על לקוחות מפרסמים.

Reddit לא הצהירה בפומבי איזה סוג של שדות נתונים נכללו במידע הגנוב, רק שהפריצה הייתה "מוגבלת".

אבל המילה מוגבל יכול להיות סימן טוב (למשל שם וכתובת דוא"ל, וללא נתונים אחרים), אבל יכול באותה מידה להיות דבר רע (למשל "רק" שני פריטי נתונים: מספר תעודת זהות שלך וסריקה של רישיון הנהיגה שלך).

משתמשים רשומים בשירות Reddit, כך נראה - עורכים, כידוע - יכולים לסגת מ-Blue Alert, כאשר Reddit אומרת שהחקירה שלה עד כה לא מראה שום אינדיקציה למה שהיא מכנה "נתונים לא ציבוריים" (במילים אחרות, דברים שלא פרסמתם לעולם כדי ראה בכל מקרה) ניגשו על ידי פושעי הסייבר.

וכפי שצוין קודם לכן, נראה שמערכות Reddit עצמן – מערכות ההפעלה, הקוד והרשתות שמריצות את שירותי Reddit שאיתם אתה מתקשר, בין אם כמשתמש ובין אם כאורח – לא נפרצו.

מכאן, אנו מסיקים שלא סביר שהנוכלים יצאו עם נתונים כגון רשומות כניסה, יומני מערכת, פרטי מיקום או גיבוב סיסמא.

כמו כן, החברה ציינה, בהודעתה, כי היא עדיין חוקרת אירוע זה (שקרה ביום ראשון 2023-02-05).

בהתחשב בתגובתה המהירה למדי עד כה, אנו משערים ש- Reddit תעקוב בבוא העת כדי לומר אם היא מצאה ראיות נוספות לפשרה.

מה לעשות?

למען האמת, אלא אם כן אתה עובד או מפרסם של Reddit, זה לא נראה כאילו יש הרבה שאתה יכול או צריך לעשות עכשיו.

(אנחנו מניחים, אם אתה עובד עבור או מפרסם עם Reddit, שהחברה כבר תיצור איתך קשר באופן אישי אם הנתונים שלך היו בין המידע ה"מוגבל" שנגנב, מה שנחשב לתגובה טובה יותר לטווח קצר מאשר לספר ל- כל העולם קודם כל.)

Reddit עצמה העלתה שלוש הצעות, כלומר:

הגן מפני פישינג על ידי שימוש במנהל סיסמאות. זה מקשה על הכנסת הסיסמה הנכונה לאתר הלא נכון, מכיוון שמנהל הסיסמאות אינו שולל על ידי המראה והתחושה של האתר, אלא פועל ללא רגש עם השם המדויק של דף האינטרנט שהוא רואה בשורת הכתובת . למרבה האירוניה, נראה שזו עצה ש- Reddit עצמה לא פעלה לפיה, בהתחשב בכך שהתוקפים השתמשו באתר דומה סביר כדי לגנוב אישורי כניסה, שמנהל סיסמאות היה דוחה ככל הנראה כלא ידוע.
הפעל את 2FA אם אתה יכול. זה אומר שאתה צריך קוד חד פעמי שמשתנה בכל כניסה, מה שהופך סיסמה גנובה לחסרת תועלת בפני עצמה. אנחנו מסכימים שזה רעיון מצוין, אבל שימו לב שהמנגנון של Reddit ל-2FA (אימות דו-שלבי), המבוסס על קוד בן שש ספרות המשתנה בקביעות שנוצר על ידי אפליקציה בטלפון שלכם, כנראה לא עזר כאן, כי התוקפים פישפו גם סיסמה נוכחית וגם קוד 2FA חוקי כרגע.
שנה את הסיסמאות שלך כל חודשיים. אנו לא מסכימים לעצה זו, וכך גם המכון הלאומי לתקנים וטכנולוגיה בארה"ב (NIST). שינוי למען השינוי הוא רק לעתים רחוקות רעיון טוב, מכיוון שהוא נוטה לאכוף התנהגות רגילה, שלדבריו של ידידו ועמיתתו לביטחון עירום צ'סטר ויסנייבסקי, "גורם לכולם להרגל של הרגל רע

מיתוסים של סיסמא

למרות שהקלטנו את הפודקאסט הזה לפני יותר מעשור, העצות שהוא מכיל עדיין רלוונטיות ומתחשבות היום. עדיין לא הגענו לעתיד ללא סיסמה, אז עצות אבטחת סייבר הקשורות לסיסמה יהיו בעלי ערך עוד זמן מה. האזינו כאן, או הקליקו עבור א תמליל מלא.

בקצרה: אנו ממשיכים להמליץ על מנהלי סיסמאות, במיוחד אם אתה נוטה להיסחף להרגל לבחור סיסמאות ברורות, זהות או אפילו דומות עבור מספר אתרים ללא אחת.

אנו ממליצים גם על מנהלי סיסמאות ככלי מועיל למשוך אותך לאתרי מתחזים שנראים לך מושלמים ויזואלית, אך אינם תואמים את הציפיות הפשוטות וחסרות הרגשות של מנהל הסיסמאות שלך.

ו אנו ממליצים לך להפעיל את 2FA בכל מקום שאתה יכול, למרות שאנחנו יודעים שזה קצת טרחה.

עם זאת, אנו מזכירים לכם שקודי 2FA (כגון אלה חד-פעמיים ב-6 ספרות SMS או הודעות מבוססות אפליקציות) עדיין ניתנים לדיוג, כפי שקרה כאן ל-Reddit, כך שהם אינם תרופה לכל זהירות.

אבל אנחנו לא מסכימים להכריח את עצמך באופן קבוע לשנות את כל הסיסמאות שלך על בסיס אלגוריתמי.

הרבה יותר טוב לשנות את הסיסמאות שלך מיד בכל פעם שאתה באמת חושב שכדאי לעשות זאת, מאשר להסתמך על "אני אשנה את זה מתישהו בקרוב בכל מקרה, אז אני פשוט אחכה עד שהתהליך יגיד לי לעשות את זה."

(אנחנו לא אומרים שאסור לך לשנות את הסיסמאות שלך כל הזמן אם זה משמח אותך, אבל לעשות את זה בתור מה שאתה יכול לכנות "דרישה פרוצדורלית" ייתן לך תחושת ביטחון מזויפת, וינצל את הזמן שאתה יכול להשקיע במשימות אחרות שמשפרות ישירות את הבטיחות המקוונת שלך.)

כפי שאמרנו בעבר, אולי אנו הולכים לעתיד ללא סיסמה, אך אנו חושדים שכולנו נלהטט בסיסמאות לפחות עבור שירות מקוון חשוב במשך שנים רבות.

הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
מקור: https://nakedsecurity.sophos.com/2023/02/10/reddit-admits-it-was-hacked-and-data-stolen-says-dont-panic/

בול זמן: פברואר 10, 2023

בול זמן: מר 7, 2023

הועלה מחדש על ידי אפלטון

Firefox 115 יצא, אומר פרידה ממשתמשי Windows ו-Mac מבוגרים יותר

OpenSSH מתקן באג זיכרון פנוי כפול שניתן לאחסון דרך הרשת

איך להתמודד עם תאריכים ושעות בלי שום התקפי זעם של אזור זמן...

S3 Ep97: האם האייפון שלך נפגע? כיצד תוכל לדעת? [אודיו + טקסט]

מניעת שירות למחשב נייד באמצעות מוזיקה: שיר ה-R&B משנות ה-1980 עם CVE!

אודות

חיפוש אנכי ו- Ai

פלטפורמה

שמור על קשר

חֶשְׁבּוֹן