Reddit被黑客攻击是由于一个非常不安全的双因素设置。 - 沐鸣相关新闻 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司 

全国统一热线:0755-29925678

沐鸣新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

Reddit被黑客攻击是由于一个非常不安全的双因素设置。

浏览次数:1097日期:2019-05-11小编:沐鸣

  欢迎访问沐鸣娱乐平台网址www.huayu21.com,Reddit周三在一篇博客文章中说,一名黑客在6月份闯入公司的系统,获得了访问各种数据的权限,包括用户电子邮件、源代码、内部文件和“2007年及之前的所有Reddit数据”。如果一些Reddit员工使用双因素身份验证应用程序或物理身份验证应用程序,这可能是可以避免的。钥匙而不是他们的电话号码。


  Reddit发言人在一份声明中说:“在6月19日,我们得知一名攻击者通过截取SMS 2FA验证码,向云和源代码托管提供商泄露了Reddit的一些帐户。”(拥有有线出版公司Cond_Nast的Advance Publications是Reddit的大股东。)“我们正在与联邦执法部门合作,并已采取措施解决目前的情况,并防止今后发生类似事件。少数用户受到影响并得到通知。”


  其中一个泄露的信息是2007年的Reddit数据库备份,这意味着如果您当时正在使用该平台,那么您从那时起的帐户信息,如电子邮件地址、用户名和密码都会被公开。Reddit说密码是由加密的salting和hashing防御系统保护的,但是如果你仍然为你的Reddit帐户或任何在线帐户使用旧密码,你应该将其更改为一个强大的随机密码,以防Reddit木马被破解。


  “由于Salting和Hashing可以追溯到2006或2007年,所以它可能是次优的,”开放加密审计项目主管KennWhite说。每个人都应该更改密码。”


  Reddit还指出,2018年6月3日至6月17日,与平台的“电子邮件摘要”相关的日志被曝光。这是一个问题,因为访问该信息将允许攻击者查看连接到每个用户电子邮件地址的用户名,如果您试图破坏帐户,那么这将是一个有用的信息。这些摘要还对用户可能喜欢的帖子和子帖子提出建议,这可能会给攻击者提供有关Reddit个人的更多信息。

Reddit被黑客攻击是由于一个非常不安全的双因素设置。

  这些都是公司强调的主要用户影响,但首席技术官克里斯托弗·斯劳在博客中提到,这一漏洞还损害了“Reddit源代码、内部日志、配置文件和其他员工工作区文件”。所有这些结合起来,可以让黑客深入了解Reddit的基本原理。结构和架构,这会造成公司需要解决的长期风险。


  怀特说:“一旦一个罪犯半夜从你家的窗户偷走,他们就可以偷走你的瓷器,拍下你银行对账单的照片,喝下你的啤酒。”


  攻击者通过损害公司云存储和源代码存储的一些员工管理帐户进入Reddit的系统。Slowe在博客中指出,员工使用双因素认证来保护这些重要的帐户,但他们中的一些人使用短信设置了这一保护层,这意味着有人需要向他们的手机号码发送代码来完成帐户登录。问题在于,众所周知,基于短信的两个因素是不安全的,因为攻击者可以发起“SIM交换”攻击来控制用户的SIM卡和所有进入其电话号码的数据。


  尽管普通消费者可能没有听说过在双因素认证中使用短信息的危险性,但技术界已经知道这一风险数年了。但不知怎么的,雷德特错过了备忘录。“我们了解到基于短信的认证并不像我们希望的那样安全,主要的攻击是通过短信拦截,”Slowe周三写道。


  怀特说:“他们所说的是,他们的云基础设施拥有由蹩脚的双因素保护所保护的高权限帐户,他们的一个管理员被弹出了。“像Reddit这样的高价值财产,加上某个家伙的手机号码,就不值得了。”


  Reddit说,它将通知用户其当前帐户密码与泄露的凭证有关,并将提示受影响的个人更改密码。该公司鼓励每个人“思考一下,11年前在Reddit上使用的密码是否还在其他网站上使用”。如果您的电子邮件地址受到影响,请考虑您的Reddit帐户上是否有您不希望关联回该地址的内容。”


  该公司还表示,用户应该按照它所说的做,而不是像它(显然)那样做,并且只使用认证应用程序或物理认证令牌来进行双因素保护。正如Slowe指出的,基于短信的双因素并不是Reddit帐户的选择。

关注沐鸣官网,获取更多最新行业资讯。


如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有