Написать пост

Хакер взломал аккаунты сотрудников Reddit и похитил старые базы паролей

Аватар Екатерина Никитина
Екатерина Никитина

Команда Reddit направила владельцам скомпрометированных аккаунтов письма с уведомлением, а также приняла меры, чтобы обеспечить безопасность своих систем.

Администрация Reddit сообщила, что неизвестный хакер взломал несколько систем сайта и сумел получить доступ к некоторым данным: текущим email-адресам для рассылки дайджестов и бэкапу базы 2007 года со старыми паролями. Владельцам скомпрометированных аккаунтов команда Reddit направила письма с уведомлением о произошедшем.

Что конкретно произошло?

Как выяснила администрация ресурса, в период с 14 по 18 июня 2018 года злоумышленник смог получить доступ к аккаунтам нескольких сотрудников Reddit, перехватив SMS с кодами для двухфакторной аутентификации. Однако его права ограничивались просмотром данных, он не способен был изменить какую-либо информацию.

Руководство сайта уже приняло меры, чтобы обеспечить безопасность своих систем. Аккаунты сотрудников теперь защищены двухфакторной аутентификацией, основанной на генерации ключа по токену.

Какие данные затронуты?

По словам администрации Reddit, всего скомпрометированы две базы: двухлетний бэкап БД сайта от мая 2007 года и логи с отправленными 3−17 июня 2018 года персональными подборками новостей, включая адреса электронной почты и сами дайджесты:

Хакер взломал аккаунты сотрудников Reddit и похитил старые базы паролей 1

Команда Reddit сбросила те пароли, что еще могли быть действующими, и направила письма их владельцам, а также всем тем, чьи учетные данные попали в третьи руки.

Кроме того, хакер получил доступ к просмотру хранилища с исходным кодом Reddit, внутренних логов, файлов конфигурации и другой рабочей информацией.

И что дальше?

Пользователям Reddit администрация советует проверить электронную почту, связанную с их аккаунтами, на предмет писем с уведомлениями о сбросе пароля, а также настроить для входа двухфакторную аутентификацию (через соответствующее приложение, а не SMS).

Похожую схему — проникновение в систему посредством взлома учетной записи сотрудника — использовали злоумышленники в июле 2018 года, чтобы подсадить вирус в анализатор JavaScript-кода ESLint. Тогда неизвестный получил доступ к аккаунту разработчика npm, внедрил троян для хищения пользовательских данных и опубликовал обновление пакета.

Следите за новыми постами
Следите за новыми постами по любимым темам
322 открытий322 показов
Также рекомендуем
Обложка поста 7 программ для шифрования данных
7 программ для шифрования данных
Рассмотрели 7 популярных программ для шифрования файлов, контейнеров и томов, для шифрования данных в облаке и электронной почте.
Обложка поста Путин подписал запрет иностранной электронной почты для регистрации на российских сайтах
Путин подписал запрет иностранной электронной почты для регистрации на российских сайтах
Президент России Владимир Путин подписал законопроект, который запрещает регистрацию на сайтах через иностранную электронную почту.
Обложка поста Google открыла регистрацию доменов .zip. Всё раскупили скамеры
Google открыла регистрацию доменов .zip. Всё раскупили скамеры
Дочерняя компания Google — TLD — открыла свободную регистрацию доменных имён .zip. Адреса мгновенно раскупили скамеры.
Обложка поста JWT для начинающих: что такое JSON Web Tokens и зачем они нужны
JWT для начинающих: что такое JSON Web Tokens и зачем они нужны
JWT — это JSON Web Tokens, простой и безопасный способ передачи информации между клиентом и сервером с помощью шифрования.