Reddit مورد حمله واقع شد: پست‌های الکترونیک، کلمات عبور و پیام‌های خصوصی دزدیده شدند.

شبکه رسانه‌های اجتماعی Reddit امروز اعلام کرد[۱] که در ماه ژوئن ۲۰۱۸ دچار یک رخنه امنیتی شده که در آن برخی از داده‌های کاربرانش، ازجمله آدرس‌های پست الکترونیک فعلی و یک نسخه پشتیبان از یک پایگاه داده قدیمی مربوط به سال ۲۰۰۷ که شامل نام‌های کاربری و کلمات عبور hash شده است، افشا شده است.

به گفته Reddit، مهاجم یا مهاجمان ناشناخته طوری مدیریت کردند تا قادر به دسترسی فقط-خواندنی^(۱) به برخی از سیستم‌ها باشند که شامل اطلاعات پشتیبان کاربران، منبع کد، logهای داخلی و سایر فایل‌ها بود.

Christopher Slowe، مدیر ارشد فناوری Reddit، در پستی که در این پلتفرم منتشر شد، اذعان کرد که این رخنه یک پرونده جدی بوده اما به کاربرانش اطمینان داد که هکرها دسترسی به سیستم‌های Reddit نداشتند.

Slowe نوشت: “مهاجمان قادر به تغییر اطلاعات Reddit نبودند و ما از زمان وقوع این رویداد اقدام به قفل‌کردن بیشتر و تغییر کلیه اسرار تولید^(۲) و کلیدهای API و افزایش سیستم‌های loging و سیستم مانیتورینگ کرده‌ایم.”

طبق گفته Slowe، مهم‌ترین اطلاعات موجود در نسخه پشتیبان، اطلاعات حساب‌های کاربری (نام‌های کاربری و کلمات عبور hash شده و salt شده مربوط به آن‌ها)، آدرس‌های پست الکترونیک و تمام محتویات ازجمله پیام‌های خصوصی است.

مهاجم سیستم تصدیق هویت دومرحله‌ای بر پایه پیامک را دور زده است.

Reddit در مورد نشت اطلاعاتی در تاریخ ۱۹ ژوئن ۲۰۱۸ تحقیق کرده و گفته است که این مهاجم چندین حساب کاربری کارمندان Reddit را به همراه تأمین‌کنندگان میزبانی منبع کد و cloud آن‌ها از ۱۴ ژوئن تا ۱۸ ژوئن ۲۰۱۸ به خطر انداخته است.

این هک توسط متوقف کردن^(۲) پیامک‌ها که به‌منظور رسیدن به کارمندان Reddit با کدهای رمز یک‌بارمصرف ارسال شده بود؛ انجام شد و درنهایت دور زدن تصدیق هویت دومرحله‌ای یا ۲FA در این حملات انجام شد[۲].

این رخنه امنیتی باید یک هشدار بیداری برای کسانی باشد که هنوز بر تصدیق هویت مبتنی بر پیامک تأکید دارند و معتقدند که امن است. وقت آن است که شما از این روش گذر کنید و از تصدیق هویت‌های دومرحله‌ای دیگر که مبتنی بر پیامک نیستند، استفاده کنید.

Reddit همچنین کاربران را تشویق می‌کند تا از تصدیق هویت مبتنی بر token استفاده کنند که شامل تولید یک کد رمز یک‌بارمصرف و منحصربه‌فرد از طریق یک برنامه نصب‌شده بر روی گوشی شماست.

Reddit گفته است که کاربران می‌توانند چند مرحله که در صفحه اطلاعیه مربوط به این رخنه ذکر شده است را دنبال کنند تا بررسی کنند که آیا حساب‌های آن‌ها درگیر این رخنه بوده است یا خیر.

علاوه بر این، Reddit کلمات عبور را برای کاربرانی که ممکن است اطلاعات حساب‌های کاربری آن‌ها را در این رخنه سرقت شده باشد، ریست کرده است و همچنین به‌طور مستقیم به تمام کاربران آسیب‌دیده با راهنمایی‌هایی در مورد چگونگی محافظت از خودشان اطلاع‌رسانی کرده است.

منابع

[۱]https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to

[۲] https://thehackernews.com/2016/07/two-factor-authentication.html

[۳] https://thehackernews.com/2018/08/hack-reddit-account.html

(۱) read-only
(۲) production secrets
(۳) intercepting