Злоумышленникам удалось получить доступ к различным данным: базе с email-адресами и хешированными паролями пользователей, зарегистрированных с 2005 по 2007 год, электронные письма пользователей, исходные коды, внутренние файлы и «все данные Reddit с 2007 года». Сообщается, что инцидент имел место между 14 и 18 июня 2018 года, и проникновение обнаружили 19 июня. Злоумышленники скомпрометировали нераскрываемое число сотрудников Reddit и проникли в «несколько систем», получив доступ к данным.
Иллюстрация от theguardian.com
Представители Reddit официально признали факт взлома и изложили суть произошедшего в своем блоге:
19 июня нам стало известно, что хакер скомпрометировал несколько учетных записей Reddit с доступом к облаку и исходному коду, перехватив коды проверки двухфакторной аутентификации, которые пришли по SMS
Мы сотрудничаем с правоохранительными органами, делаем необходимое для устранения последствий текущей ситуации, а также постараемся сделать все, чтобы избежать подобных инцидентов в будущем. Пострадало лишь небольшое количество пользователей, которых мы уже успели уведомить
Хакеры добрались вчастности до бэкапа БД, датированного маем 2007 года. Reddit был основан и заработал в 2005 году, и этот бэкап БД содержал всю информацию за два года работы сайта, в том числе весь его контент и сообщения пользователей (включая личные), а также хешированные пароли и соли для хэшей, актуальные на момент создания бэкапа.
Представители компании утверждают, что преступники не получили доступа на запись на скомпрометированных серверах, а значит, не могли модифицировать какие-либо важные данные. Тем не менее, разработчики все равно усилили безопасность (в частности сменили ключи API) и мониторинг.
Так же хакерам повезло добраться и до более свежих email-дайджестов, отправленным между 3 июня и 17 июня 2018 года. Эти подборки рекомендуемых постов для читателей портала содержат информацию о пользовательских именах и связанных с ними почтовых адресах.
Сбой двухфакторной аутентификации на основе SMS
Reddit использует обычную двухфакторную аутентификацию на основе SMS, чтобы защитить свои учетные записи сотрудников, требуя ввода одноразового кода доступа вместе с именем пользователя и паролем.
Однако, как сообщил Reddit, именно эти текстовые сообщения хакеры и перехватили
Кейт Грэм (Keith Graham), главный технический специалист SecureAuth + Core Security, прокомментировал ситуацию для the Guardian: «Хотя аутентификация на основе SMS популярна и гораздо более безопасна, чем просто пароль, широко известно, что она достаточно уязвима для злоумышленников, которые, используя ее бреши, уже взломали многих знаменитостей.
Грэхем объяснил, что киберпреступники способны получить доступ к номеру телефона, на который отправляется двухфакторный код SMS:: «Например, киберпреступник просто может предоставить представителю компании мобильной связи адрес жертвы, последние 4 цифры номера социального страхования и, возможно, кредитную карту для трансфера номера мобильного телефона.
«Это та информация, которая широко доступна в даркнете благодаря предыдущим утечкам баз данных, например Equifax».
Последствия
Некоторые вопросы вызывает тот факт, что если инцидент с безопасностью был обнаружен еще 19 июня 2018 года, то публично о нем сообщили лишь 1 августа 2018, т.е. более чем месяц спустя. Еще один интересный момент, в комментариях к новости об инциденте администраторы ресурса рассказали, что "наняли своего самого первого руководителя службы безопасности, и он начал работу всего 2,5 месяца назад".
На данный момент скомпрометированные аккаунты пользователей всё ещё действуют, но их обладателям отправлены письма с инструкцией об изменении пароля.
Кроме того, администраторы реддита ввели усовершенствованную двухфакторную аутентификацию для доступа к конфиденциальным данным. Пользователям Reddit рекомендовано сбросить и установить стойкий уникальный пароль и настроить подтверждение входа помощью кода, генерируемого приложением, а не через SMS.
Комментарии (25)
pnetmon
02.08.2018 18:22Бекап 11 летней давности содержащий все и находящийся для сотрудников в онлайн доступе это сильно.
Пора обновлять давно не меняемые пароли....
Перехват SMS это сильная команда, как вспомнить перехват из-за устаревшего протокола наземного сегмента сотовой связи.
В начале ссылка битая и как бы левый сайт, оригинал
https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/
Пользователям Reddit предложено сбросить пароль и настроить подтверждение входа в приложение с помощью кода, генерируемого специальным приложением, а не через SMS.
Наверное будет лучше как в оригинале
And, as in all things, a strong unique password and enabling 2FA (which we only provide via an authenticator app, not SMS) is recommended for all users, and be alert for potential phishing or scams.
Пользователям Reddit предложено сбросить пароль, использовать оригинальные пароли и использовать двухфакторную авторизацию с через приложение, а не через SMS.
Jeditobe Автор
02.08.2018 19:03По битым ссылкам и опечаткам лучше всего в личные сообщения писать, а не в комментариях. Там ссылка правильная была, просто склеилась с другой.
SandroSmith
03.08.2018 00:58+1Сколько там времени ГДПР даёт на обнародование? Сутки? Трое?
Revetements_Etales
03.08.2018 01:25eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN
В течение 72 часов они должны оповестить только свой надзорный орган. Если нет вероятности угрозы правам и свободам физическим лиц, или же были приняты меры из 34.3, то оповещение не обязательно.
Article 33
Notification of a personal data breach to the supervisory authority
In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.Article 34
Communication of a personal data breach to the data subject
1. When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.
…
3. The communication to the data subject referred to in paragraph 1 shall not be required if any of the following conditions are met(a)the controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption;
(b)the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph 1 is no longer likely to materialise;
(с)it would involve disproportionate effort. In such a case, there shall instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner.gpyra
03.08.2018 08:34Никогда не любил пароли. Это типа кто узнал слово, тот и хозяин. Неужели нельзя было внедрить нечто лучшее?
Frimko
03.08.2018 10:24действительно, чтоже мб лучше пароля, который хранится только у тебя в памяти(если бекенд не дебилы и захешировали пароль миллион раз)?
— предлагаете проверку на днк каплей крови? вот вам фейковое направление на сдачу крови.
— смс? фейковая АТС его перехватит.
— хешированная осциллограмма головного мозга? да легко, через пару минут в допросной фбр, из вас его вынут при надобности. да и не факт что вы сами зайти сможете, будучи в не том состоянии, в котором осциллограмму снимали.
— отпечатки пальцев… да… ну вы уже поняли в чем подвох)
Archon
03.08.2018 13:35Никакая альтернатива не будет работать на 100% надёжно. По определению, для надёжной проверки необходимо следить не только за результатом проверки, но и за порядком её прохождения. Грубо говоря, пока за посетителем, прикладывающим палец к турникету, не наблюдает живой охранник и не контролирует, что человек прикладывает именно свой палец, а не палочку с резинкой — этот турникет защищает только от честных людей и дураков.
Абсолютно всё, что можно выдать дистанционному пользователю, может быть так или иначе подделано таким же дистанционным злоумышленником. Пароли ничем не лучше и ничем не хуже всех имеющихся альтернатив, зато совершенно бесплатны в плане реализации и требуют минимальный уровень подготовки пользователя.gpyra
03.08.2018 18:11-3Дааа, минимальный. Как ставили люди 1234, так и будут ставить, и ничто их не научит. Пароли были ок для 80х, но сегодня они попросту нелепы
Archon
04.08.2018 18:42+1Как выяснилось уже много раз (включая тот, о котором идёт речь в топике), ставить пароль 1234 на сайте, где нет возможности навредить в реальном мире — не просто умно, но ещё и правильно.
isden
04.08.2018 09:37+1> Абсолютно всё, что можно выдать дистанционному пользователю, может быть так или иначе подделано таким же дистанционным злоумышленником.
Смарткарты с сильноймагиейкриптографией, никогда не покидающей пределы чипа? Ну, например, как банковские карты с чипом.
defuz
03.08.2018 08:43бэкап БД содержал всю информацию за два года работы сайта, в том числе весь его контент и сообщения пользователей (включая личные), а также хешированные пароли и соли для хэшей, актуальные на момент создания бэкапа
Так пароли утекли или хеши от паролей? Измените заголовок на менее желтый.Jeditobe Автор
03.08.2018 10:29+1В 2005 году там вероятно было хеширование MD5, а если еще известная соль и способ формирования хеша, то таки да — можно считать, что утекли прям пароли.
Revetements_Etales
03.08.2018 12:22+2В 2005 году (и до ~2008) там не было даже MD5, а просто plaintext.
github.com/reddit-archive/reddit1.0/blob/bb4fbdb5871a32709df30540685cf44c637bf203/data.lisp#L56-L70
web.archive.org/web/20070109023445/http://reddit.com/blog/theft
web.archive.org/web/20070301110630/http://reddit.com:80/info/usqe/comments/cuugl
Not hashing was a design decision we made in the beginning, and it didn't stem from irresponsibility-- it stemmed from a decision to provide functionality that I liked.
С 2008 (до 2011) там был SHA1+соль в три байта
www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/e3f8og0
github.com/reddit-archive/reddit/commit/4778b17e939e119417cc5ec25b82c4e9a65621b2#diff-d709ed735cfce3d0adca229fc5ec46cbR244
С октября 2011 они начали использовать bcrypt (но rehash получили только те пользователи, которые залогинились после этой даты)
www.reddit.com/r/changelog/comments/lj0cb/reddit_change_passwords_are_now_hashed_with_bcrypt/?st=jkam4z3h&sh=cb669415
github.com/reddit-archive/reddit/blob/ea8f0b72c50f1f174a26e3ba66a4f784e4462f2e/r2/r2/models/account.py#L885-L889
r3r
03.08.2018 13:56Серьезно? Сначала что-то у вас вероятно, а потом на основе своей вероятности вы считаете, что утекли прям пароли? Там, в вашей ссылке на оригинал, прямым текстом написано в первом предложении: old salted and hashed passwords. И это вообще ниразу не «хешированные пароли и соли для хэшей». У вас заголовок не отражает действительность.
Ridcally
03.08.2018 12:39Так как перехватили смс, сделали port number по девичьей фамилии первой собаки, или ходили за сотрудниками с фейковой базой — вот что интересно.
dhomedo
05.08.2018 13:59Все это предсказуемо. В 2007 году некто поимел базу данных паролей реддит за 2005-2007 год а 2018 (или ранее) некто поломал того самого хакера который эти пароли увел в 2007. Ну и решил выложить эти уже устаревшие и никому уже не нужные данные. Ну и ради прикола их взял и выложил. Как то так.
alexkowel
Нам пора привыкать к новой реальности. Приватных данных нет, а есть только те, которые по какой-то непонятной причине пока не стали достоянием общественности.
Foxcool
Реальность надо формировать golos.io/p2p/@foxcool/spasenie-interneta