Система безопасности Reddit отвратительна, сказал он
Хакер BVM говорит, что «потерял счёт» количеству подреддитов, которые он дефейснул за последние несколько дней. Среди трофеев — более 70 тематических сообществ Reddit, в том числе довольно популярные /r/pics (11,2 млн подписчиков), /r/starwars, /r/gameofthrones и многие другие.
Взлом стал возможен из-за отвратительной системы безопасности Reddit и отсутствия двухфакторной аутентификации, объяснил хакер. Но причину своих действий назвать не смог: «На самом деле, никаких причин нет. Просто скука. Это не какое-то трудное достижение или что-то такое, я просто убивал время», — сказал BVM.
BVM не сообщил подробности, каким способом ему удалось завладеть 70 подреддитами. Он только признал, что зашёл под аккаунтами модераторов и заменил оригинальные стили CSS на своё сообщение.
Скорее всего, хакер использовал какой-то низкотехнологичный трюк, чтобы узнать пароли модераторов. Один из модераторов признался, что у него был пароль из семи символов, который он использовал и на других сайтах. Так что BVM мог найти пароль модератора в одной из парольных баз.
Хакер говорит, что специально не выбирал подреддиты, а просто атаковал или самые популярные по рейтингу, или любые случайные, которые попались под руку.
Администрация Reddit быстро среагировала на инцидент и восстановила изначальный вид страниц. BVM признал, что техподдержка у них работает очень оперативно.
Возможно, сайту Reddit пора вводить программу выплаты вознаграждений за найденные уязвимости, как это сделал Pornhub. Тогда и для скучающих хакеров найдётся занятие поинтереснее.
Автор: alizar