国产夫妻啪啪,色婷婷5月,7o岁老太bbw

Reddit社交平臺遭數據泄露黑客繞過基于短信認證的2FA

責編：gltian ｜2018-08-02 15:14:26

Reddit今天宣布了一項安全漏洞。該社交平臺表示，黑客在繞過雙因素身份驗證（2FA）并竊取了一些電子郵件地址，日志和包含舊salt和哈希密碼的2007數據庫備份等信息后，入侵了幾名員工的賬戶。

該黑客攻擊發生在6月14日至6月18日之間。Reddit稱他們在6月19日也就是第二天發現了漏洞。

Reddit表示，黑客從未對其服務器進行“寫操作”。

“他們無法改變Reddit信息，我們已經采取措施進一步鎖定和輪換所有生產機密和API密鑰，并加強我們的日志和監控系統，”

Reddit將這一事件歸咎于黑客繞過2FA。Reddit表示，黑客對其部分員工的電話號碼進行了短信攔截攻擊，并截獲了訪問員工賬戶所需的2FA代碼。

雖然Reddit沒有說出來，但這也意味著黑客知道員工的帳戶密碼，盡管如此，這就是為什么要創建像2FA這樣的兩步驗證系統來保護帳戶免受威脅行為者攻擊的主要原因知道密碼。

Reddit表示，它將員工從基于SMS的2FA遷移到基于令牌的2FA，并敦促其他公司和用戶也這樣做。其他詳細信息可在Reddit網站范圍內公布。

美國國家標準與技術研究院（NIST）建議不要使用基于SMS的2FA，學術界已經繞過基于SMS的2FA?幾年了，但最近幾周，基于SMS的2FA已經被證實在現實世界被繞過。然而，盡管存在問題，安全研究人員仍然建議使用SMS的2FA比完全不使2FA要好。

但黑客確實得到了“讀取權限”，Reddit說他從2007年5月開始下載舊版Reddit網站備份的副本。

Reddit表示，這個備份包含從2005年網站發布到2007年5月備份日期的網站上活躍用戶的數據。

“這個備份中包含的最重要的數據是帳戶憑據（用戶名+salted hashed 密碼），電子郵件地址和所有內容（主要是公開的，但也包括私人消息），”

在2007年5月之后注冊的用戶或在該日期之后發布的消息和帖子被視為安全。

Reddit還表示，黑客為Reddit的電子郵件摘要功能下載了一些日志，更確切地說，是2018年6月3日和6月17日發送的電子郵件摘要。

“摘要將用戶名與相關聯的電子郵件地址相關聯，并包含您訂閱的精選流行和安全工作子版本的建議帖子”

社交平臺表示，所有黑客采取過數據的用戶都會通過Reddit消息得到通知。仍將使用其2007密碼的用戶進行更改。

Reddit還表示，黑客訪問了公司的源代碼，內部文件，配置和員工工作文件。