11.05.2016 21:39
alizar 11 13100 Источник

Система безопасности Reddit отвратительна, сказал он




Хакер BVM говорит, что «потерял счёт» количеству подреддитов, которые он дефейснул за последние несколько дней. Среди трофеев — более 70 тематических сообществ Reddit, в том числе довольно популярные /r/pics (11,2 млн подписчиков), /r/starwars, /r/gameofthrones и многие другие.

Взлом стал возможен из-за отвратительной системы безопасности Reddit и отсутствия двухфакторной аутентификации, объяснил хакер. Но причину своих действий назвать не смог: «На самом деле, никаких причин нет. Просто скука. Это не какое-то трудное достижение или что-то такое, я просто убивал время», — сказал BVM.

BVM не сообщил подробности, каким способом ему удалось завладеть 70 подреддитами. Он только признал, что зашёл под аккаунтами модераторов и заменил оригинальные стили CSS на своё сообщение.



Скорее всего, хакер использовал какой-то низкотехнологичный трюк, чтобы узнать пароли модераторов. Один из модераторов признался, что у него был пароль из семи символов, который он использовал и на других сайтах. Так что BVM мог найти пароль модератора в одной из парольных баз.

Хакер говорит, что специально не выбирал подреддиты, а просто атаковал или самые популярные по рейтингу, или любые случайные, которые попались под руку.

Администрация Reddit быстро среагировала на инцидент и восстановила изначальный вид страниц. BVM признал, что техподдержка у них работает очень оперативно.

Возможно, сайту Reddit пора вводить программу выплаты вознаграждений за найденные уязвимости, как это сделал Pornhub. Тогда и для скучающих хакеров найдётся занятие поинтереснее.

Комментарии (11)


  1. kloppspb
    12.05.2016 02:20
    #9254410
    +9

    >для скучающих хакеров

    В очередной раз вспоминается история про «хакера и солонки».


    1. maxzhurkin
      12.05.2016 23:15
      #9258154
      -1

      У одного из них (я не буду показывать пальцем) туго с фантазией.


  1. Rasato
    12.05.2016 10:45
    #9255110
    +1

    Нет чтобы взломать ответственных за безопасность. Чем простые пользователи ресурса провинились?


    1. Inkvizitor66
      12.05.2016 12:33
      #9255558

      так по идее — никто ж не пострадал: скучающий развлекся, дыры в безопасности выявлены, подрелдиты получили чуть-чуть пиара (сомнительно, конечно, но почему нет?), как я понял из текста, хакер пароли модераторов не менял т.е. это не «угон».


      1. Intercross
        12.05.2016 16:21
        #9256692

        Ага, просто лишил их всего доступа к модерируемому сабреддиту.


        1. Inkvizitor66
          12.05.2016 16:24
          #9256708

          А вот как раз и не указано подобного.
          Да даже если и так то доступ им оперативно вернули.


          1. profesor08
            12.05.2016 17:51
            #9257188

            А вот с возвращением доступа спешить не надо, а провести разъяснительные беседы по поводу халатности.


          1. Intercross
            12.05.2016 21:07
            #9257816

            Не знаю, каких подробностей ожидаете вы, но на скриншоте видно, как пользователь чистит список модераторов и потом удаляет себя.


            1. Inkvizitor66
              12.05.2016 21:11
              #9257828

              Хммм… посмотрел внимательно. Справедливо. Спасибо.


      1. strlock
        13.05.2016 07:38
        #9258594

        Разве можно считать «дырой » парольную аутентификацию? Тогда в сети большинство сайтов дырявые? Иду просить вознаграждение)


        1. Inkvizitor66
          13.05.2016 09:34
          #9258864

          в случае когда пароль из 7ми символов и используетя на нескольки ресурсов — да дыра и неплохая. а если быть парольным параноиком с рандомным набором буквоцифрознаков разных регистров длиной символов в 30 и обновляемый ежедневно и уникальный для каждого ресурса…
          при таких условиях по идее эта дыра сожмется достаточно, чтобы не считатть её уязвимостью.