Дискуссионная площадка Reddit уведомила (https://www.reddit.com/r/announcements/comments/93qnm5/we_ha.../) пользователей об инциденте, в результате которого в руки злоумышленников попала архивная база данных с хэшами паролей, адресами электронной почты и личными сообщениями пользователей сервиса.
Утечка произошла в середине июня в результате компрометации учётных записей нескольких сотрудников Reddit, воспользовавшись которыми атакующие смогли загрузить архивную резервную копию, включающую данные с момента основания сайта в 2005 году до мая 2007 года. Кроме архивных данных атакующие смогли загрузить отчёт о почтовых пересылках с 3 по 17 июня 2018 года, включающий email-адреса, связанные с ними имена пользователей и подписки на обсуждения.
Примечательно, что доступ был получен несмотря на применение сотрудниками двухфакторной аутентификации с использованием SMS, что показывает низкую неэффективность применения данной системы для защиты от профессиональных атак на крупные сервисы. Для безопасной двухфакторной аутентификации рекомендуется использовать предварительно загруженные или созданные на устройстве пользователя одноразовые пароли или генерируемые при помощи криптоключа токены.
Применять отправляемые сервером SMS с кодами подтверждения не рекомендуется из-за слабой защищенности протокола SS7 и существования методов (http://www.sueddeutsche.de/digital/it-sicherheit-schwachstel...) перехвата SMS через их перенаправление на другой номер, а также возможности захвата номера жертвы, используя методы социальной инжинерии (например, получение у оператора новой SIM-карты без должного подтверждения личности).URL: https://www.reddit.com/r/announcements/comments/93qnm5/we_ha.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=49063
Помнится A.Stahl собирался туда с опеннета переезжать
Там, как минимум, аудитория больше порядка на три
https://www.reddit.com/r/linux/
интересно, если б на опеннете такое произошло, нам бы сообщили?
Никому не нужен Неуловимый Джо.
> Никому не нужен Неуловимый Джо.ну да, мы тоже так думали
Похоже на деятельность спецслужб.
да, точно спецслужбы. Хотят от имени каких-нибудь обормотов постить незаметно всякую хрень!
Если имел место перехват SMS, то можно предположить грубое нагибание мобильных операторов.
Как указано в новости SS7 - штука вообще не особо секьюрная, если говорить мягко, и рассчиана на то, что всем подключённым сторонам можно доверять.
Пффф, там уже все давно сломано и перехвачено. Вопрос только в том что монетизировать это трудно. Хорошо что распространяется двухфакторная авторизация. Хоть какой-то спрос на перехват смс.
русские хакеры, прокремлёвские тролли, лично Сам... ещё версии?
Я вот не пойму, ну сделайте вы.. кхм, ладно.. за идеи деньги просить нужно. А тут мне никто не заплатит.
Зачем роботам деньги ? O_o
Да и откуда у них идеи?
От ИИ
лол, твоя идея нафиг никому не уперлась и стоит она ровно ничего, до тех пор пока не будет реализована кем-то.
Ученые в ШОКЕ! Обитатель опеннета предложил ИДЕЮ! Нужно всего лишь... [Читать далее]
>за идеи деньги просить нужноПросить-то проси, но никто не даст. Стоимость идеи в лучше случае нулевая, а обычно — отрицательная. Время того, кто будет твои идеи слушать денег стоит. Реализация идеи — тоже. А взлетит или нет, этого никто не знает. Но ты проси. Мало ли повезёт, лоха найдёшь какого.
повторение истории с yahoo?
Да уж, вход в свои админки, похоже, действительно надо делать по предварительно генерируемым одноразовым паролям.При чём для особенно важных админок генератор этих паролей в веб интерфейс вообще не выводить. Только по ssh их забирать.
Двухфакторная аутентификация с использованием сторонних сервисов для проектов такого уровня недопустима. Можно без дырок в протоколе поиметь через непонятных лиц обслуживающих оператора.
На самом деле это куда сложнее, чем найти левую контору, с которой нужный оператор сцеплен по SS7 и завернуть себе трафик ненадолго
>атакующие смогли организовать перехват SMS некоторых сотрудниковперехватывать смс, чтобы получить доступ к архиву десятилетней давности...как-то это тупо
Тут больше жажда расжиться за счет базы почтовых адресов и старых паролей.
Ну а хацкерам потешить ЧСВ за счет "я хакнул реддит"