首页
学习
活动
专区
工具
TVP
发布

黑客绕旧密码并也窃取了用户最近的用户名和电子邮件后,Reddit公示了其安全漏洞。

Reddit今天宣布了一项安全漏洞。社交平台表示,黑客在绕过双因素身份验证(2FA)然后破解了几名员工的账户,窃取了一些2007数据库备份中用户的电子邮件地址,日志和旧的哈希密码,。

该黑客攻击发生在6月14日至6月18日之间.Reddit称它在第二天的6月19日发现了漏洞。

Reddit表示,黑客从未对其服务器进行“写访问”。

“他们无法改变Reddit信息,我们已经采取措施进一步锁定和轮换所有生产机密和API密钥,并加强我们的日志和监控系统,”该公司表示。

黑客窃取了旧密码

但黑客确实得到了“读取权限”,Reddit说他从2007年5月开始下载旧版Reddit网站备份的副本。

Reddit表示,这个备份包含从2005年网站发布到2007年5月备份日期的网站上活跃用户的数据。

“这个备份中包含的最重要的数据是帐户凭据(用户名+哈希密码),电子邮件地址和所有内容(主要是公开的,但也包括私人消息),”Reddit说。

在2007年5月之后注册的用户或在该日期之后发布的消息和帖子被视为安全。

黑客还窃取了最近的用户名和电子邮件

Reddit还表示,黑客为Reddit的电子邮件摘要功能下载了一些日志,更确切地说,是为2018年6月3日和6月17日发送的电子邮件摘要。

“摘要将用户名与相关联的电子邮件地址相关联,并包含您订阅的精选流行和安全工作子版本的建议帖子,”Reddit说。

社交平台表示,所有黑客采取过数据的用户都会通过Reddit消息得到通知。仍将使用其2007密码的用户进行更改。

Reddit还表示,黑客访问了公司的源代码,内部文件,配置和员工工作文件。

黑客绕过了2FA

Reddit将这一事件归咎于黑客绕过2FA的能力。Reddit表示,黑客对其部分员工的电话号码进行了短信拦截攻击,并截获了访问员工账户所需的2FA代码。

虽然Reddit没有说出来,但这也意味着黑客知道员工的帐户密码,尽管如此,这就是为什么要创建像2FA这样的两步验证系统来保护帐户免受威胁行为者攻击的主要原因知道密码。

Reddit表示,它将员工从基于SMS的2FA迁移到基于令牌的2FA,并敦促其他公司和用户也这样做。其他详细信息可在Reddit网站范围内公布

美国国家标准与技术研究院(NIST)建议不要使用基于SMS的2FA,学术界已经绕过基于SMS的2FA 几年了,但最近几周,基于SMS的2FA已经被证实在现实世界[ 12 ]。然而,尽管存在问题,安全研究人员仍然建议基于SMS的2FA完全不使用2FA。

我是否认为总统使用的美国主要社交影响平台Reddit应该使用SMS 2FA进行管理员远程访问?不,他们总是会成为大鲨鱼的目标。我认为鞋类零售商可以通过短信保护Outlook Web App吗?是。 - 凯文(@GossiTheDog)2018年8月1日

  • 发表于:
  • 原文链接https://www.bleepingcomputer.com/news/security/reddit-announces-security-breach-after-hackers-bypassed-staffs-2fa/
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券