17. největší web světa hacknut. Co všechno z Redditu uniklo?

Sdílet

 Autor: Redakce
Reddit.com

je podle Alexy 17. nejnavštěvovanějším webem na světě a 5. v USA. Jeho provozovatelé ale v posledních týdnech řešili jiné věci, než jak ke stávajícím 330 milionům aktivních uživatelů přidat další.

Jeden ze zakladatelů a adminů tohoto diskuzního fóra KeyserSosa včera popsal nedávný hackerský útok, při kterém neznámý útočník obešel i dvoufázovou autentizaci a získal část databáze.

Na SMS není spoleh

Útok se odehrál někdy mezi 14. a 18. červnem, v Redditu na to přišli až 19. Útočník získal přístup k účtům několika správců cloudu a hostingu zdrojových kódů. Účty sice byly chráněny dvoufázovým ověřováním, ale používaly zastaralou metodu se zasíláním SMS kódů.

A to už dnes nikdo nedoporučuje, zvlášť ne v USA. Přístup k telefonnímu číslu je totiž možné získat poměrně jednoduše. Tamní operátoři přenesou číslo na novou SIM kartu, když znáte telefonní číslo a poslední čtyři číslice z čísla sociálního zabezpečení. K obojímu se lze dostat sociálním inženýrstvím. A když ne, GSM sítě jsou dnes tak zranitelné, že cizí SMS lze číst i bez přenosu čísla, viz HowToGeek.

Unikly databáze a zdrojáky

Reddit už všechny správcovské účty převedl na 2FA založených na tokenech, byť nevíme, jestli mluví o hardwarových USB klíčích, nebo softwarové variantě s generátorem TOTP kódů (Google Authenticator apod.).

ICTS24

A co že to uniklo?

  • Záloha databáze sítě datovaná od spuštění v roce 2005 až do května 2007. V archivu byly uživatelská jména, e-mailové adresy, hashovaná a osolená hesla a také veškerý sdílený obsah (včetně soukromých zpráv). Reddit už napadnutelné uživatele, kteří si od té doby nezměnili heslo, upozornil, aby tak učinili.
  • Unikl též aktuální seznam příjemců e-mailového newsletteru zasílaného mezi 3. a 17. červnem. V logu se kromě e-mailu nacházelo i uživatelské jméno a doporučené příspěvky k přečtení.
  • Útočník získal také zdrojové kódy Redditu, interní logy, konfigurační soubory a pracovní soubory napadených zaměstnanců.
  • Ve všech případech měl útočník k dispozici jen práva pro čtení, žádné změny na serverech neprovedl.

Reddit už také spolupracuje s úřady a policií, aby se jim podařilo útočníka dopadnout.