Reddit今天宣布了一项安全漏洞。该社交平台表示,黑客在绕过双因素身份验证(2FA)并窃取了一些电子邮件地址,日志和包含旧salt和哈希密码的2007数据库备份等信息后,入侵了几名员工的账户。
该黑客攻击发生在6月14日至6月18日之间。Reddit称他们在6月19日也就是第二天发现了漏洞。
Reddit表示,黑客从未对其服务器进行“写操作”。
“他们无法改变Reddit信息,我们已经采取措施进一步锁定和轮换所有生产机密和API密钥,并加强我们的日志和监控系统,”
黑客绕过了2FA
Reddit将这一事件归咎于黑客绕过2FA。Reddit表示,黑客对其部分员工的电话号码进行了短信拦截攻击,并截获了访问员工账户所需的2FA代码。
虽然Reddit没有说出来,但这也意味着黑客知道员工的帐户密码,尽管如此,这就是为什么要创建像2FA这样的两步验证系统来保护帐户免受威胁行为者攻击的主要原因知道密码。
Reddit表示,它将员工从基于SMS的2FA迁移到基于令牌的2FA,并敦促其他公司和用户也这样做。其他详细信息可在Reddit网站范围内公布。
美国国家标准与技术研究院(NIST)建议不要使用基于SMS的2FA,学术界已经绕过基于SMS的2FA 几年了,但最近几周,基于SMS的2FA已经被证实在现实世界被绕过。然而,尽管存在问题,安全研究人员仍然建议使用SMS的2FA比完全不使2FA要好。
黑客窃取了2007年以前的用户旧密码
但黑客确实得到了“读取权限”,Reddit说他从2007年5月开始下载旧版Reddit网站备份的副本。
Reddit表示,这个备份包含从2005年网站发布到2007年5月备份日期的网站上活跃用户的数据。
“这个备份中包含的最重要的数据是帐户凭据(用户名+salted hashed 密码),电子邮件地址和所有内容(主要是公开的,但也包括私人消息),”
在2007年5月之后注册的用户或在该日期之后发布的消息和帖子被视为安全。
黑客还窃取了最近的用户名和电子邮件
Reddit还表示,黑客为Reddit的电子邮件摘要功能下载了一些日志,更确切地说,是2018年6月3日和6月17日发送的电子邮件摘要。
“摘要将用户名与相关联的电子邮件地址相关联,并包含您订阅的精选流行和安全工作子版本的建议帖子”
社交平台表示,所有黑客采取过数据的用户都会通过Reddit消息得到通知。仍将使用其2007密码的用户进行更改。
Reddit还表示,黑客访问了公司的源代码,内部文件,配置和员工工作文件。