אתר המדיה החברתית הפופולרית Reddit - "Usenet כתום עם פרסומות", כפי ששמענו אותו מתאר באופן קצת לא חביב - הוא נכס האינטרנט הידוע האחרון שסבל נתוני פרה שבו נגנב קוד המקור שלו.
בשבועות האחרונים, LastPass ו GitHub התוודו על חוויות דומות, כאשר פושעי רשת כנראה פורצים ונכנסים כמעט באותו אופן: על ידי זיהוי קוד גישה חי או סיסמה עבור איש צוות בודד, והתגנבות בחסות הזהות הארגונית של אותו אדם.
במילים של Reddit עצמו:
מערכות Reddit נפרצו כתוצאה ממתקפת פישינג מתוחכמת וממוקדת במיוחד. הם קיבלו גישה לכמה מסמכים פנימיים, לקוד ולכמה מערכות עסקיות פנימיות.
אנחנו לא בטוחים עד כמה מתאים שם התואר "מתוחכם" כאן, לא מעט משום ש-Reddit ממשיכה במהירות ומצהירה כי:
כמו ברוב מסעות הפרסום הדיוגים, התוקף שלח הנחיות שנשמעות סבירות שהצביעו על עובדים לאתר אינטרנט ששיבט את ההתנהגות של שער האינטראנט שלנו, בניסיון לגנוב אישורים ואסימוני גורם שני.
לאחר שהשיג בהצלחה אישורים של עובד בודד, התוקף השיג גישה לכמה מסמכים פנימיים, קוד, כמו גם כמה לוחות מחוונים פנימיים ומערכות עסקיות. אנחנו לא מראים שום סימנים להפרה של מערכות הייצור העיקריות שלנו (החלקים של המחסנית שלנו שמפעילים את Reddit ומאחסנים את רוב הנתונים שלנו).
במילים אחרות, המתקפה הזו הצליחה כמעט בוודאות לא בגלל שהיא הייתה מתוחכמת, אלא כי זה לא היה.
מישהו, אולי מיהר, הגיע למה שהם חשבו שהוא הגבול, מסר את הדרכון שלו למטייל במקום לסוכן גבול רשמי, ואז מצא את עצמו לכוד בשום מקום ללא תעודת זהות בזמן שהמתחזה הפליג דרכו. מעבר הגבול בשמם.
הגורם החשוב ביותר במתקפת חטיפת זהות מסוג זה אינו תחכום אלא, כפי ש- Reddit ציינה בצדק לעיל, סבירות, מה שמקל אפילו על אנשים מעודכנים וזהירים "לעבור" על סמך הרגל וניסיון.
הסיכון הנובע מהתנהגות רגילה הוא הסיבה לכך שהשילוט הרשמי של הכבישים הבריטי כולל מלבן אדום בוהק המכיל את המילים NEW ROAD LAYOUT AHEAD המשמש כאשר חלק כביש עמוס מתארגן מחדש. השלט אינו שם כדי להגן על אנשים ותיקים ממשתמשי כביש חדשים ועצבניים שעלולים למצוא מסובך צומת גדול או כיכר. זה שם כדי להגן על המשתמשים החדשים, שאין להם ברירה אלא לעבוד בזהירות מהעקרונות הראשונים, ולכן סביר להניח שהם פועלים לפי חוקי הדרך בסדר גמור, מפני אנשים ותיקים שחושבים שהם "יודעים" איך התנועה תתנהג במיקום זה, וכן לכן הפליגו ברשלנות, בהתבסס על הנחות שגויות והתנהגות "לומדת-אך-עכשיו-לא נכונה".
עד לאן הגיעו הנוכלים?
כפי שכבר נאמר, התוקפים ניגשו לחלק מהמערכות הפנימיות של Reddit עצמו.
בנוסף ל"מסמכים" ו"קוד" הנשמעים בעיקר לא מזיקים המפורטים לעיל, Reddit הודתה שמידע על עובדים ו"אנשי קשר" בעבר ובהווה (אנו מניחים שזה כולל, אך לא מוגבל ל, קבלנים ואחרים עובדים שאינם קבועים) נגנבו, יחד עם מידע על לקוחות מפרסמים.
Reddit לא הצהירה בפומבי איזה סוג של שדות נתונים נכללו במידע הגנוב, רק שהפריצה הייתה "מוגבלת".
אבל המילה מוגבל יכול להיות סימן טוב (למשל שם וכתובת דוא"ל, וללא נתונים אחרים), אבל יכול באותה מידה להיות דבר רע (למשל "רק" שני פריטי נתונים: מספר תעודת זהות שלך וסריקה של רישיון הנהיגה שלך).
משתמשים רשומים בשירות Reddit, כך נראה - עורכים, כידוע - יכולים לסגת מ-Blue Alert, כאשר Reddit אומרת שהחקירה שלה עד כה לא מראה שום אינדיקציה למה שהיא מכנה "נתונים לא ציבוריים" (במילים אחרות, דברים שלא פרסמתם לעולם כדי ראה בכל מקרה) ניגשו על ידי פושעי הסייבר.
וכפי שצוין קודם לכן, נראה שמערכות Reddit עצמן – מערכות ההפעלה, הקוד והרשתות שמריצות את שירותי Reddit שאיתם אתה מתקשר, בין אם כמשתמש ובין אם כאורח – לא נפרצו.
מכאן, אנו מסיקים שלא סביר שהנוכלים יצאו עם נתונים כגון רשומות כניסה, יומני מערכת, פרטי מיקום או גיבוב סיסמא.
כמו כן, החברה ציינה, בהודעתה, כי היא עדיין חוקרת אירוע זה (שקרה ביום ראשון 2023-02-05).
בהתחשב בתגובתה המהירה למדי עד כה, אנו משערים ש- Reddit תעקוב בבוא העת כדי לומר אם היא מצאה ראיות נוספות לפשרה.
מה לעשות?
למען האמת, אלא אם כן אתה עובד או מפרסם של Reddit, זה לא נראה כאילו יש הרבה שאתה יכול או צריך לעשות עכשיו.
(אנחנו מניחים, אם אתה עובד עבור או מפרסם עם Reddit, שהחברה כבר תיצור איתך קשר באופן אישי אם הנתונים שלך היו בין המידע ה"מוגבל" שנגנב, מה שנחשב לתגובה טובה יותר לטווח קצר מאשר לספר ל- כל העולם קודם כל.)
Reddit עצמה העלתה שלוש הצעות, כלומר:
- הגן מפני פישינג על ידי שימוש במנהל סיסמאות. זה מקשה על הכנסת הסיסמה הנכונה לאתר הלא נכון, מכיוון שמנהל הסיסמאות אינו שולל על ידי המראה והתחושה של האתר, אלא פועל ללא רגש עם השם המדויק של דף האינטרנט שהוא רואה בשורת הכתובת . למרבה האירוניה, נראה שזו עצה ש- Reddit עצמה לא פעלה לפיה, בהתחשב בכך שהתוקפים השתמשו באתר דומה סביר כדי לגנוב אישורי כניסה, שמנהל סיסמאות היה דוחה ככל הנראה כלא ידוע.
- הפעל את 2FA אם אתה יכול. זה אומר שאתה צריך קוד חד פעמי שמשתנה בכל כניסה, מה שהופך סיסמה גנובה לחסרת תועלת בפני עצמה. אנחנו מסכימים שזה רעיון מצוין, אבל שימו לב שהמנגנון של Reddit ל-2FA (אימות דו-שלבי), המבוסס על קוד בן שש ספרות המשתנה בקביעות שנוצר על ידי אפליקציה בטלפון שלכם, כנראה לא עזר כאן, כי התוקפים פישפו גם סיסמה נוכחית וגם קוד 2FA חוקי כרגע.
- שנה את הסיסמאות שלך כל חודשיים. אנו לא מסכימים לעצה זו, וכך גם המכון הלאומי לתקנים וטכנולוגיה בארה"ב (NIST). שינוי למען השינוי הוא רק לעתים רחוקות רעיון טוב, מכיוון שהוא נוטה לאכוף התנהגות רגילה, שלדבריו של ידידו ועמיתתו לביטחון עירום צ'סטר ויסנייבסקי, "גורם לכולם להרגל של הרגל רע
מיתוסים של סיסמא
למרות שהקלטנו את הפודקאסט הזה לפני יותר מעשור, העצות שהוא מכיל עדיין רלוונטיות ומתחשבות היום. עדיין לא הגענו לעתיד ללא סיסמה, אז עצות אבטחת סייבר הקשורות לסיסמה יהיו בעלי ערך עוד זמן מה. האזינו כאן, או הקליקו עבור א תמליל מלא.
בקצרה: אנו ממשיכים להמליץ על מנהלי סיסמאות, במיוחד אם אתה נוטה להיסחף להרגל לבחור סיסמאות ברורות, זהות או אפילו דומות עבור מספר אתרים ללא אחת.
אנו ממליצים גם על מנהלי סיסמאות ככלי מועיל למשוך אותך לאתרי מתחזים שנראים לך מושלמים ויזואלית, אך אינם תואמים את הציפיות הפשוטות וחסרות הרגשות של מנהל הסיסמאות שלך.
ו אנו ממליצים לך להפעיל את 2FA בכל מקום שאתה יכול, למרות שאנחנו יודעים שזה קצת טרחה.
עם זאת, אנו מזכירים לכם שקודי 2FA (כגון אלה חד-פעמיים ב-6 ספרות SMS או הודעות מבוססות אפליקציות) עדיין ניתנים לדיוג, כפי שקרה כאן ל-Reddit, כך שהם אינם תרופה לכל זהירות.
אבל אנחנו לא מסכימים להכריח את עצמך באופן קבוע לשנות את כל הסיסמאות שלך על בסיס אלגוריתמי.
הרבה יותר טוב לשנות את הסיסמאות שלך מיד בכל פעם שאתה באמת חושב שכדאי לעשות זאת, מאשר להסתמך על "אני אשנה את זה מתישהו בקרוב בכל מקרה, אז אני פשוט אחכה עד שהתהליך יגיד לי לעשות את זה."
(אנחנו לא אומרים שאסור לך לשנות את הסיסמאות שלך כל הזמן אם זה משמח אותך, אבל לעשות את זה בתור מה שאתה יכול לכנות "דרישה פרוצדורלית" ייתן לך תחושת ביטחון מזויפת, וינצל את הזמן שאתה יכול להשקיע במשימות אחרות שמשפרות ישירות את הבטיחות המקוונת שלך.)
כפי שאמרנו בעבר, אולי אנו הולכים לעתיד ללא סיסמה, אך אנו חושדים שכולנו נלהטט בסיסמאות לפחות עבור שירות מקוון חשוב במשך שנים רבות.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://nakedsecurity.sophos.com/2023/02/10/reddit-admits-it-was-hacked-and-data-stolen-says-dont-panic/
- 1
- 2FA
- a
- אודות
- מֵעַל
- מוּחלָט
- גישה
- נצפה
- תוספת
- כתובת
- הודה
- לפרסם
- פרסום
- עצה
- נגד
- סוֹכֵן
- קדימה
- ערני
- אלגוריתמי
- תעשיות
- כְּבָר
- בין היתר
- ו
- האפליקציה
- לתקוף
- אימות
- מחבר
- המכונית
- רקע תמונה
- רע
- בָּר
- מבוסס
- בסיס
- כי
- לפני
- מוטב
- גָדוֹל
- קצת
- כָּחוֹל
- גבול
- תַחתִית
- הפרה
- שבירה
- בָּהִיר
- בריטי
- עסקים
- שיחה
- שיחות
- קמפיינים
- זהיר
- בזהירות
- מרכז
- בהחלט
- שינוי
- שינויים
- משתנה
- צ'סטר ויסנייבסקי
- בחירה
- קוד
- עמית
- צֶבַע
- חברה
- מסובך
- פשרה
- לשקול
- מכיל
- להמשיך
- קבלנים
- משותף
- יכול
- קורס
- לכסות
- אישורים
- קרוקס
- נוֹכְחִי
- לקוחות
- עברייני אינטרנט
- אבטחת סייבר
- נתונים
- עָשׂוֹר
- מְתוּאָר
- DID
- ישירות
- לְהַצִיג
- מסמכים
- לא
- עושה
- לא
- מטה
- נהיגה
- מוקדם יותר
- בקלות
- אמייל
- עובדים
- במיוחד
- אֲפִילוּ
- כל
- עדות
- הציפיות
- ניסיון
- חוויות
- שדות
- סוף
- ראשון
- לעקוב
- מצא
- חבר
- החל מ-
- גבול
- נוסף
- עתיד
- שער כניסה
- נוצר
- לקבל
- לתת
- נתן
- Goes
- טוב
- גדול
- פרוצים
- קרה
- שמח
- כותרת
- נשמע
- גובה
- לעזור
- מועיל
- כאן
- מכה
- לרחף
- איך
- HTML
- HTTPS
- חולה
- רעיון
- זהה
- זהות
- חשוב
- לשפר
- in
- באחר
- תקרית
- כלול
- כולל
- סִימָן
- אינדיקציות
- בנפרד
- אנשים
- מידע
- במקום
- מכון
- אינטראקציה
- פנימי
- חקירה
- באופן אירוני
- IT
- פריטים
- עצמו
- לדעת
- ידוע
- האחרון
- מערך
- רישיון
- סביר
- מוגבל
- ברשימה
- לחיות
- מיקום
- נראה
- עשוי
- הרוב
- עושה
- עשייה
- מנהל
- מנהלים
- רב
- שולים
- להתאים
- max-width
- אומר
- מנגנון
- מדיה
- חבר
- מוּזְכָּר
- רק
- הודעות
- יכול
- חודשים
- יותר
- רוב
- מספר
- ביטחון עירום
- שם
- כלומר
- לאומי
- צורך
- רשתות
- אף על פי כן
- חדש
- ניסט
- נוֹרמָלִי
- הודעה
- מספר
- להשיג
- ברור
- רשמי
- ONE
- באינטרנט
- פועל
- מערכות הפעלה
- אחר
- שֶׁלוֹ
- חלקים
- דרכון
- סיסמה
- מנהל סיסמא
- סיסמאות
- עבר
- פול
- אוּלַי
- אישית
- דיוג
- התקפת דיוג
- טלפון
- לְחַבֵּר
- מישור
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- מתקבל על הדעת
- פודקאסט
- עמדה
- הודעה
- הודעות
- להציג
- יְסוֹדִי
- עקרונות
- תהליך
- הפקה
- רכוש
- להגן
- בפומבי
- מושך
- גם
- מָהִיר
- מהירות
- לאחרונה
- להמליץ
- מוקלט
- רשום
- Red
- באופן קבוע
- רלוונטי
- לסמוך
- תגובה
- תוצאה
- הסיכון
- כביש
- כללי
- הפעלה
- בְּטִיחוּת
- אמר
- טוֹבָה
- אותו
- אומר
- סריקה
- אבטחה
- נראה
- רואה
- תחושה
- שרות
- שירותים
- קצר
- טווח קצר
- לְהַצִיג
- הופעות
- סִימָן
- דומה
- יחיד
- אתר
- אתרים
- SMS
- So
- עד כה
- חֶברָתִי
- מדיה חברתית
- מוצק
- כמה
- במידה מסוימת
- בקרוב
- מתוחכם
- מָקוֹר
- קוד מקור
- לבלות
- לערום
- סגל
- לעמוד
- תקנים
- מדינה
- אמור
- עוד
- גָנוּב
- חנות
- בהצלחה
- כזה
- מַתְאִים
- SVG
- מערכת
- מערכות
- משימות
- טכנולוגיה
- אומר
- השמיים
- העולם
- שֶׁלָהֶם
- עצמם
- לכן
- דבר
- לחשוב
- מחשבה
- שְׁלוֹשָׁה
- דרך
- זמן
- ל
- היום
- מטבעות
- כלי
- חלק עליון
- לקראת
- תְנוּעָה
- מַעֲבָר
- שָׁקוּף
- תור
- תחת
- כתובת האתר
- us
- משתמש
- משתמשים
- בעל ערך
- מבקר
- לחכות
- אינטרנט
- אתר
- שבועות
- מוכר
- מה
- אם
- אשר
- בזמן
- מי
- יצטרך
- לְלֹא
- Word
- מילים
- תיק עבודות
- עובד
- עוֹלָם
- ראוי
- היה
- טעות
- שנים
- עצמך
- זפירנט