压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Reddit今天宣布了一項安全漏洞。該社交平臺表示，黑客在繞過雙因素身份驗證（2FA）并竊取了一些電子郵件地址，日志和包含舊salt和哈希密碼的2007數(shù)據(jù)庫備份等信息后，入侵了幾名員工的賬戶。

該黑客攻擊發(fā)生在6月14日至6月18日之間。Reddit稱他們在6月19日也就是第二天發(fā)現(xiàn)了漏洞。

Reddit表示，黑客從未對其服務(wù)器進(jìn)行“寫操作”。

“他們無法改變Reddit信息，我們已經(jīng)采取措施進(jìn)一步鎖定和輪換所有生產(chǎn)機(jī)密和API密鑰，并加強(qiáng)我們的日志和監(jiān)控系統(tǒng)，”

黑客繞過了2FA

Reddit將這一事件歸咎于黑客繞過2FA。Reddit表示，黑客對其部分員工的電話號碼進(jìn)行了短信攔截攻擊，并截獲了訪問員工賬戶所需的2FA代碼。

雖然Reddit沒有說出來，但這也意味著黑客知道員工的帳戶密碼，盡管如此，這就是為什么要創(chuàng)建像2FA這樣的兩步驗證系統(tǒng)來保護(hù)帳戶免受威脅行為者攻擊的主要原因知道密碼。

Reddit表示，它將員工從基于SMS的2FA遷移到基于令牌的2FA，并敦促其他公司和用戶也這樣做。其他詳細(xì)信息可在Reddit網(wǎng)站范圍內(nèi)公布。

美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）建議不要使用基于SMS的2FA，學(xué)術(shù)界已經(jīng)繞過基于SMS的2FA?幾年了，但最近幾周，基于SMS的2FA已經(jīng)被證實在現(xiàn)實世界被繞過。然而，盡管存在問題，安全研究人員仍然建議使用SMS的2FA比完全不使2FA要好。

黑客竊取了2007年以前的用戶舊密碼

但黑客確實得到了“讀取權(quán)限”，Reddit說他從2007年5月開始下載舊版Reddit網(wǎng)站備份的副本。

Reddit表示，這個備份包含從2005年網(wǎng)站發(fā)布到2007年5月備份日期的網(wǎng)站上活躍用戶的數(shù)據(jù)。

“這個備份中包含的最重要的數(shù)據(jù)是帳戶憑據(jù)（用戶名+salted hashed 密碼），電子郵件地址和所有內(nèi)容（主要是公開的，但也包括私人消息），”

在2007年5月之后注冊的用戶或在該日期之后發(fā)布的消息和帖子被視為安全。

黑客還竊取了最近的用戶名和電子郵件

Reddit還表示，黑客為Reddit的電子郵件摘要功能下載了一些日志，更確切地說，是2018年6月3日和6月17日發(fā)送的電子郵件摘要。

“摘要將用戶名與相關(guān)聯(lián)的電子郵件地址相關(guān)聯(lián)，并包含您訂閱的精選流行和安全工作子版本的建議帖子”

社交平臺表示，所有黑客采取過數(shù)據(jù)的用戶都會通過Reddit消息得到通知。仍將使用其2007密碼的用戶進(jìn)行更改。

Reddit還表示，黑客訪問了公司的源代碼，內(nèi)部文件，配置和員工工作文件。

原文鏈接：https://www.bleepingcomputer.com/news/security/reddit-announces-security-breach-after-hackers-bypassed-staffs-2fa/