Ingen får panik, men Reddit har hackats (och det var roligt enkelt)

Ingen får panik, men Reddit har hackats (och det var roligt enkelt)

Ja, du läste det korrekt. Det verkar som att “Internetens första sida” inte längre är ett säkert utrymme där välmenande individer kan engagera sig i respektfull diskussion, kapa PR-kampanjer för att ge valar fåniga namn och manipulera Googles algoritm för att göra narr av Donald Trump utan rädsla. av förföljelse.

Det är enligt Reddits teknologchef Christopher Slowe, åtminstone, som via ett blogginlägg meddelade att den femte mest populära webbplatsen på internet hade brutits av en hackare på onsdag morgon.

Den 19 juni fick vi reda på att en angripare komprometterade några av Reddits konton med moln- och källkodsleverantörer genom att fånga SMS 2FA-verifieringskoder. Vi arbetar med federal brottsbekämpning och har också vidtagit åtgärder för att både hantera denna nuvarande situation och förhindra liknande incidenter i framtiden. Ett litet antal användare påverkades och har meddelats.

Bland uppgifterna som komprometterades under intrånget, enligt uttalandet, var en 2007-säkerhetskopiering av data och “e-post-sammanfattning” -loggarna från 3 juni till 17 juni 2018. Medan den förra uppenbarligen bara påverkar dem som hade ett medlemskonto i Reddits tidiga dagar (och de enda personer som kan dras till dess nyligen introducerade chattrum), den senare är i huvudsak en NOC-lista med stil som ansluter användarkonton till motsvarande e-postadresser. I en era där botkonton redan undertrycks över alla sociala medieplattformar av miljoner kan ett brott som detta göra kontohantering lättare än någonsin – och svårare att upptäcka.

Det är inte ens att nämna kompromisserna med “Reddit-källkod, interna loggar, konfigurationsfiler och andra arbetsplatsfiler för anställda” som också inträffade, enligt Slowe.

Så vilken typ av hacker extraordinaire skulle kunna överträffa säkerheten för ett företag som bedömts för 1,8 miljarder dollar? Tja, i stort sett alla som vet en sak om 2-faktor autentisering, visar det sig. erbjuder en sammanfattning av Reddits skrattretande enkla säkerhetsprotokoll.

Angripare kom in på Reddits system genom att kompromissa med vissa administrativa konton för anställda för företagets molnlagring och källkodslagring. Slowe noterar i blogginlägget att de anställda använde tvåfaktorautentisering för att skydda dessa viktiga konton, men vissa av dem hade det skyddslager som var inställt med SMS – vilket innebär att någon skulle behöva en kod som skickades till deras mobilnummer för att slutföra en Kontoinloggning. Problemet är att SMS-baserad tvåfaktor är känd för att vara osäker, eftersom angripare kan starta en “SIM-byte” -attack för att ta kontroll över en användares SIM-kort och all data som kommer till deras telefonnummer.

Eller som Kenn White, chef för Open Crypto Audit Project, uttrycker det: “En värdefull egendom som Reddit skyddad med någon kille mobilnummer är ingen bueno.”

Ingen bueno verkligen, Kenn. Ingen bueno verkligen.

Även om Reddit har skickat ett e-postmeddelande till alla berörda användare omedelbart efter överträdelsen, rekommenderar Slowe fortfarande att alla användare ändrar sina lösenord och överväger att byta till tvåfaktorsidentifiering på sina konton. Du vet, för det fungerade så bra i det senaste förflutna.

För mer tekniska nyheter, kolla in: