Один из крупнейших социальных хабов интернета, Reddit, в среду заявил о проникновении в свою сеть киберпреступников.
Злоумышленнику удалось получить доступ к различным данным: базе с email-адресами и паролями пользователей, зарегистрированных с 2005 по 2007 год, электронные письма пользователей, исходные коды, внутренние файлы и «все данные Reddit с 2007 года». Сообщается, что инцидент имел место между 14 и 18 июля 2018 года, и проникновение обнаружили 19 июля. Злоумышленники скомпрометировали нераскрываемое число сотрудников Reddit и проникли в «несколько систем», получив доступ к данным.
Иллюстрация от theguardian.com
Представители Reddit официально признали факт взлома и изложили суть произошедшего в своем блоге:
«19 июня нам стало известно, что хакер скомпрометировал несколько учетных записей Reddit с доступом к облаку и исходному коду, перехватив коды проверки двухфакторной аутентификации, которые пришли по SMS».
«Мы сотрудничаем с правоохранительными органами, делаем необходимое для устранения последствий текущей ситуации, а также постараемся сделать все, чтобы избежать подобных инцидентов в будущем. Пострадало лишь небольшое количество пользователей, которых мы уже успели уведомить».
Хакеры добрались вчастности до бэкапа БД, датированного маем 2007 года. Reddit был основан и заработал в 2005 году, и этот бэкап БД содержал всю информацию за два года работы сайта, в том числе весь его контент и сообщения пользователей (включая личные), а также хешированные пароли и соли для хэшей, актуальные на момент создания бэкапа.
Представители компании утверждают, что преступники не получили доступа на запись на скомпрометированных серверах, а значит, не могли модифицировать какие-либо важные данные. Тем не менее, разработчики все равно усилили безопасность (в частности сменили ключи API) и мониторинг.
Так же хакерам повезло добраться и до более свежих email-дайджестов, отправленным между 3 июня и 7 июля 2018 года. Эти подборки рекомендуемых постов для читателей портала содержат информацию о пользовательских именах и связанных с ними почтовых адресах.
Сбой двухфакторной аутентификации на основе SMS
Reddit использует обычную двухфакторную аутентификацию на основе SMS, чтобы защитить свои учетные записи сотрудников, требуя ввода одноразового кода доступа вместе с именем пользователя и паролем.
Однако, как сообщил Reddit, именно эти текстовые сообщения хакеры и перехватили
Кейт Грэм (Keith Graham), главный технический специалист SecureAuth + Core Security, прокомментировал ситуацию для the Guardian: «Хотя аутентификация на основе SMS популярна и гораздо более безопасна, чем просто пароль, широко известно, что она достаточно уязвима для злоумышленников, которые, используя ее бреши, уже взломали многих знаменитостей.
Грэхем объяснил, что киберпреступники способны получить доступ к номеру телефона, на который отправляется двухфакторный код SMS:: «Например, киберпреступник просто может предоставить представителю компании мобильной связи адрес жертвы, последние 4 цифры номера социального страхования и, возможно, кредитную карту для трансфера номера мобильного телефона.
«Это та информация, которая широко доступна в даркнете благодаря предыдущим утечкам баз данных, например Equifax».
Последствия
Некоторые вопросы вызывает тот факт, что если инцидент с безопасностью был обнаружен еще 19 июня 2018 года, то публично о нем сообщили лишь 1 августа 2018, т.е. более чем месяц спустя. Еще один интересный момент, администраторы ресурса в комментариях к новости об инциденте сообщили, что "наняли своего самого первого руководителя службы безопасности, и он начал работу всего 2,5 месяца назад".
На данный момент скомпрометированные аккаунты пользователей всё ещё действуют, но их обладателям отправлены письма с инструкцией об изменении пароля.
Кроме того, администраторы реддита ввели усовершенствованную двухфакторную аутентификацию для доступа к конфиденциальным данным. Пользователям Reddit рекомендовано сбросить и установить стойкий уникальный пароль и настроить подтверждение входа помощью кода, генерируемого приложением, а не через SMS.
Автор: Речицкий Александр