______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Хакер взломал аккаунты сотрудников Reddit и похитил старые базы паролей

Администрация Reddit сообщила, что неизвестный хакер взломал несколько систем сайта и сумел получить доступ к некоторым данным: текущим email-адресам для рассылки дайджестов и бэкапу базы 2007 года со старыми паролями. Владельцам скомпрометированных аккаунтов команда Reddit направила письма с уведомлением о произошедшем.

Что конкретно произошло?

Как выяснила администрация ресурса, в период с 14 по 18 июня 2018 года злоумышленник смог получить доступ к аккаунтам нескольких сотрудников Reddit, перехватив SMS с кодами для двухфакторной аутентификации. Однако его права ограничивались просмотром данных, он не способен был изменить какую-либо информацию.

Руководство сайта уже приняло меры, чтобы обеспечить безопасность своих систем. Аккаунты сотрудников теперь защищены двухфакторной аутентификацией, основанной на генерации ключа по токену.

Какие данные затронуты?

По словам администрации Reddit, всего скомпрометированы две базы: двухлетний бэкап БД сайта от мая 2007 года и логи с отправленными 3−17 июня 2018 года персональными подборками новостей, включая адреса электронной почты и сами дайджесты:

пример дайджеста Reddit

Команда Reddit сбросила те пароли, что еще могли быть действующими, и направила письма их владельцам, а также всем тем, чьи учетные данные попали в третьи руки.

Кроме того, хакер получил доступ к просмотру хранилища с исходным кодом Reddit, внутренних логов, файлов конфигурации и другой рабочей информацией.

И что дальше?

Пользователям Reddit администрация советует проверить электронную почту, связанную с их аккаунтами, на предмет писем с уведомлениями о сбросе пароля, а также настроить для входа двухфакторную аутентификацию (через соответствующее приложение, а не SMS).

Похожую схему — проникновение в систему посредством взлома учетной записи сотрудника — использовали злоумышленники в июле 2018 года, чтобы подсадить вирус в анализатор JavaScript-кода ESLint. Тогда неизвестный получил доступ к аккаунту разработчика npm, внедрил троян для хищения пользовательских данных и опубликовал обновление пакета.

 

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх