je podle Alexy 17. nejnavštěvovanějším webem na světě a 5. v USA. Jeho provozovatelé ale v posledních týdnech řešili jiné věci, než jak ke stávajícím 330 milionům aktivních uživatelů přidat další.
Jeden ze zakladatelů a adminů tohoto diskuzního fóra KeyserSosa včera popsal nedávný hackerský útok, při kterém neznámý útočník obešel i dvoufázovou autentizaci a získal část databáze.
Na SMS není spoleh
Útok se odehrál někdy mezi 14. a 18. červnem, v Redditu na to přišli až 19. Útočník získal přístup k účtům několika správců cloudu a hostingu zdrojových kódů. Účty sice byly chráněny dvoufázovým ověřováním, ale používaly zastaralou metodu se zasíláním SMS kódů.
A to už dnes nikdo nedoporučuje, zvlášť ne v USA. Přístup k telefonnímu číslu je totiž možné získat poměrně jednoduše. Tamní operátoři přenesou číslo na novou SIM kartu, když znáte telefonní číslo a poslední čtyři číslice z čísla sociálního zabezpečení. K obojímu se lze dostat sociálním inženýrstvím. A když ne, GSM sítě jsou dnes tak zranitelné, že cizí SMS lze číst i bez přenosu čísla, viz HowToGeek.
Unikly databáze a zdrojáky
Reddit už všechny správcovské účty převedl na 2FA založených na tokenech, byť nevíme, jestli mluví o hardwarových USB klíčích, nebo softwarové variantě s generátorem TOTP kódů (Google Authenticator apod.).
A co že to uniklo?
- Záloha databáze sítě datovaná od spuštění v roce 2005 až do května 2007. V archivu byly uživatelská jména, e-mailové adresy, hashovaná a osolená hesla a také veškerý sdílený obsah (včetně soukromých zpráv). Reddit už napadnutelné uživatele, kteří si od té doby nezměnili heslo, upozornil, aby tak učinili.
- Unikl též aktuální seznam příjemců e-mailového newsletteru zasílaného mezi 3. a 17. červnem. V logu se kromě e-mailu nacházelo i uživatelské jméno a doporučené příspěvky k přečtení.
- Útočník získal také zdrojové kódy Redditu, interní logy, konfigurační soubory a pracovní soubory napadených zaměstnanců.
- Ve všech případech měl útočník k dispozici jen práva pro čtení, žádné změny na serverech neprovedl.
Reddit už také spolupracuje s úřady a policií, aby se jim podařilo útočníka dopadnout.
ČLÁNKY DO MAILU