The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Компрометация учётных записей сотрудников Reddit привела к утечке БД

02.08.2018 07:05

Дискуссионная площадка Reddit уведомила пользователей об инциденте, в результате которого в руки злоумышленников попала архивная база данных с хэшами паролей (с солью), адресами электронной почты и личными сообщениями пользователей сервиса.

Утечка произошла в середине июня в результате компрометации учётных записей нескольких сотрудников Reddit, воспользовавшись которыми атакующие смогли загрузить архивную резервную копию, включающую данные с момента основания сайта в 2005 году до мая 2007 года. Кроме архивных данных атакующие смогли загрузить отчёт о почтовых пересылках с 3 по 17 июня 2018 года, включающий email-адреса, связанные с ними имена пользователей и подписки на обсуждения. Также упоминается получение атакующими исходных текстов разработок компании, файлов для внутреннего использования, файлов конфигурации и рабочих проектов.

Примечательно, что доступ был получен несмотря на применение сотрудниками двухфакторной аутентификации с использованием SMS, что показывает низкую эффективность применения данной системы для защиты от профессиональных атак на крупные сервисы. Для безопасной двухфакторной аутентификации рекомендуется использовать предварительно загруженные или созданные на устройстве пользователя одноразовые пароли или генерируемые при помощи криптоключа токены.

Применять отправляемые сервером SMS с кодами подтверждения не рекомендуется из-за слабой защищенности протокола SS7 и существования методов перехвата SMS через их перенаправление на другой номер, а также возможности захвата номера жертвы, используя методы социальной инжинерии (например, получение у оператора новой SIM-карты без должного подтверждения личности). В случае с Reddit, утверждается, что атакующие смогли организовать перехват SMS некоторых сотрудников.

Пользователям, зарегистрировавшимися в сервисе до мая 2007 года рекомендовано сменить пароль и убедиться, что один и тот же пароль не используется на разных сайтах. Несмотря на то, что признаков получения полноценного доступа на серверы Reddit не зафиксировано, инициирован процесс смены всех ключей аутентификации и доступа к API, а также расширены логи аудита и задействованы дополнительные системы мониторинга. Вместо двухфакторной аутентификации на основе SMS задействована система с подтверждением входа на базе криптографических токенов.

  1. Главная ссылка к новости (https://www.reddit.com/r/annou...)
  2. OpenNews: Проект Gentoo опубликовал отчёт о взломе своих репозиториев на GitHub
  3. OpenNews: Взлом аккаунта на Github привёл к модификациии ПО криптовалюты Syscoin
  4. OpenNews: Сообщение о взломе LinuxForums.org и утечке 275 тысяч учётных записей
  5. OpenNews: Критическая уязвимость и массовые взломы хостинг-панели VestaCP
  6. OpenNews: Взлом 2013 года привёл к утечке учётных записей 3 миллиардов пользователей Yahoo
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: auth, reddit, hack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (25) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 07:40, 02/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Помнится A.Stahl собирался туда с опеннета переезжать
     
     
  • 2.8, Crazy Alex (ok), 09:00, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Там, как минимум, аудитория больше порядка на три
     
  • 2.11, Аноним (11), 09:59, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https://www.reddit.com/r/linux/
     

  • 1.5, oni7 (?), 08:52, 02/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    интересно, если б на опеннете такое произошло, нам бы сообщили?
     
     
  • 2.6, Аноним (6), 08:59, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Никому не нужен Неуловимый Джо.
     
     
  • 3.10, reddit (?), 09:59, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Никому не нужен Неуловимый Джо.

    ну да, мы тоже так думали

     

  • 1.7, Аноним (7), 09:00, 02/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Похоже на деятельность спецслужб.
     
     
  • 2.12, reddit (?), 10:01, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    да, точно спецслужбы. Хотят от имени каких-нибудь обормотов постить незаметно всякую хрень!
     
  • 2.13, Аноним (13), 10:02, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если имел место перехват SMS, то можно предположить грубое нагибание мобильных операторов.
     
     
  • 3.20, Crazy Alex (ok), 13:54, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как указано в новости SS7 - штука вообще не особо секьюрная, если говорить мягко, и рассчиана на то, что всем подключённым сторонам можно доверять.
     
  • 3.21, rshadow (ok), 14:47, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пффф, там уже все давно сломано и перехвачено. Вопрос только в том что монетизировать это трудно. Хорошо что распространяется двухфакторная авторизация. Хоть какой-то спрос на перехват смс.
     
  • 2.25, Клыкастый (ok), 16:40, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    русские хакеры, прокремлёвские тролли, лично Сам... ещё версии?
     

  • 1.14, robot228 (?), 10:26, 02/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я вот не пойму, ну сделайте вы.. кхм, ладно.. за идеи деньги просить нужно. А тут мне никто не заплатит.
     
     
  • 2.16, 1 (??), 11:05, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем роботам деньги ? O_o
     
     
  • 3.17, A.Stahl (ok), 11:39, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да и откуда у них идеи?
     
     
  • 4.23, 1 (??), 15:50, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    От ИИ
     
  • 2.18, анон (?), 11:47, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    лол, твоя идея нафиг никому не уперлась и стоит она ровно ничего, до тех пор пока не будет реализована кем-то.
     
  • 2.24, Аноним (24), 16:19, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ученые в ШОКЕ! Обитатель опеннета предложил ИДЕЮ! Нужно всего лишь... [Читать далее]
     
  • 2.28, Аноним (28), 21:12, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >за идеи деньги просить нужно

    Просить-то проси, но никто не даст. Стоимость идеи в лучше случае нулевая, а обычно — отрицательная. Время того, кто будет твои идеи слушать денег стоит. Реализация идеи — тоже. А взлетит или нет, этого никто не знает. Но ты проси. Мало ли повезёт, лоха найдёшь какого.

     

  • 1.15, Аноним (-), 10:27, 02/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    повторение истории с yahoo?
     
  • 1.19, Q2W (?), 12:53, 02/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да уж, вход в свои админки, похоже, действительно надо делать по предварительно генерируемым одноразовым паролям.

    При чём для особенно важных админок генератор этих паролей в веб интерфейс вообще не выводить. Только по ssh их забирать.

     
  • 1.22, 1 (??), 15:10, 02/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Двухфакторная аутентификация с использованием сторонних сервисов для проектов такого уровня недопустима. Можно без дырок в протоколе поиметь через непонятных лиц обслуживающих оператора.
     
     
  • 2.26, Crazy Alex (ok), 18:18, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    На самом деле это куда сложнее, чем найти левую контору, с которой нужный оператор сцеплен по SS7 и завернуть себе трафик ненадолго
     

  • 1.27, Нанобот (ok), 19:06, 02/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >атакующие смогли организовать перехват SMS некоторых сотрудников

    перехватывать смс, чтобы получить доступ к архиву десятилетней давности...как-то это тупо

     
     
  • 2.29, zoonman (ok), 18:02, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Тут больше жажда расжиться за счет базы почтовых адресов и старых паролей.
    Ну а хацкерам потешить ЧСВ за счет "я хакнул реддит"
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру