The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

02.08.2018 07:05  Компрометация учётных записей сотрудников Reddit привела к утечке БД

Дискуссионная площадка Reddit уведомила пользователей об инциденте, в результате которого в руки злоумышленников попала архивная база данных с хэшами паролей (с солью), адресами электронной почты и личными сообщениями пользователей сервиса.

Утечка произошла в середине июня в результате компрометации учётных записей нескольких сотрудников Reddit, воспользовавшись которыми атакующие смогли загрузить архивную резервную копию, включающую данные с момента основания сайта в 2005 году до мая 2007 года. Кроме архивных данных атакующие смогли загрузить отчёт о почтовых пересылках с 3 по 17 июня 2018 года, включающий email-адреса, связанные с ними имена пользователей и подписки на обсуждения. Также упоминается получение атакующими исходных текстов разработок компании, файлов для внутреннего использования, файлов конфигурации и рабочих проектов.

Примечательно, что доступ был получен несмотря на применение сотрудниками двухфакторной аутентификации с использованием SMS, что показывает низкую эффективность применения данной системы для защиты от профессиональных атак на крупные сервисы. Для безопасной двухфакторной аутентификации рекомендуется использовать предварительно загруженные или созданные на устройстве пользователя одноразовые пароли или генерируемые при помощи криптоключа токены.

Применять отправляемые сервером SMS с кодами подтверждения не рекомендуется из-за слабой защищенности протокола SS7 и существования методов перехвата SMS через их перенаправление на другой номер, а также возможности захвата номера жертвы, используя методы социальной инжинерии (например, получение у оператора новой SIM-карты без должного подтверждения личности). В случае с Reddit, утверждается, что атакующие смогли организовать перехват SMS некоторых сотрудников.

Пользователям, зарегистрировавшимися в сервисе до мая 2007 года рекомендовано сменить пароль и убедиться, что один и тот же пароль не используется на разных сайтах. Несмотря на то, что признаков получения полноценного доступа на серверы Reddit не зафиксировано, инициирован процесс смены всех ключей аутентификации и доступа к API, а также расширены логи аудита и задействованы дополнительные системы мониторинга. Вместо двухфакторной аутентификации на основе SMS задействована система с подтверждением входа на базе криптографических токенов.

  1. Главная ссылка к новости (https://www.reddit.com/r/annou...)
  2. OpenNews: Проект Gentoo опубликовал отчёт о взломе своих репозиториев на GitHub
  3. OpenNews: Взлом аккаунта на Github привёл к модификациии ПО криптовалюты Syscoin
  4. OpenNews: Сообщение о взломе LinuxForums.org и утечке 275 тысяч учётных записей
  5. OpenNews: Критическая уязвимость и массовые взломы хостинг-панели VestaCP
  6. OpenNews: Взлом 2013 года привёл к утечке учётных записей 3 миллиардов пользователей Yahoo
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: auth, reddit, hack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 07:40, 02/08/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Помнится A.Stahl собирался туда с опеннета переезжать
     
     
  • 2.8, Crazy Alex (ok), 09:00, 02/08/2018 [^] [ответить]    [к модератору]
  • +8 +/
    Там, как минимум, аудитория больше порядка на три
     
  • 2.11, Аноним (11), 09:59, 02/08/2018 [^] [ответить]    [к модератору]
  • +2 +/
    https://www.reddit.com/r/linux/
     
  • 1.5, oni7 (?), 08:52, 02/08/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    интересно, если б на опеннете такое произошло, нам бы сообщили?
     
     
  • 2.6, Аноним (6), 08:59, 02/08/2018 [^] [ответить]    [к модератору]
  • +6 +/
    Никому не нужен Неуловимый Джо.
     
     
  • 3.10, reddit (?), 09:59, 02/08/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    > Никому не нужен Неуловимый Джо.

    ну да, мы тоже так думали

     
  • 1.7, Аноним (7), 09:00, 02/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Похоже на деятельность спецслужб.
     
     
  • 2.12, reddit (?), 10:01, 02/08/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    да, точно спецслужбы. Хотят от имени каких-нибудь обормотов постить незаметно всякую хрень!
     
  • 2.13, Аноним (13), 10:02, 02/08/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Если имел место перехват SMS, то можно предположить грубое нагибание мобильных операторов.
     
     
  • 3.20, Crazy Alex (ok), 13:54, 02/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Как указано в новости SS7 - штука вообще не особо секьюрная, если говорить мягко, и рассчиана на то, что всем подключённым сторонам можно доверять.
     
  • 3.21, rshadow (ok), 14:47, 02/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Пффф, там уже все давно сломано и перехвачено. Вопрос только в том что монетизировать это трудно. Хорошо что распространяется двухфакторная авторизация. Хоть какой-то спрос на перехват смс.
     
  • 2.25, Клыкастый (ok), 16:40, 02/08/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    русские хакеры, прокремлёвские тролли, лично Сам... ещё версии?
     
  • 1.14, robot228 (?), 10:26, 02/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Я вот не пойму, ну сделайте вы.. кхм, ладно.. за идеи деньги просить нужно. А тут мне никто не заплатит.
     
     
  • 2.16, 1 (??), 11:05, 02/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Зачем роботам деньги ? O_o
     
     
  • 3.17, A.Stahl (ok), 11:39, 02/08/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Да и откуда у них идеи?
     
     
  • 4.23, 1 (??), 15:50, 02/08/2018 [^] [ответить]    [к модератору]  
  • +/
    От ИИ
     
  • 2.18, анон (?), 11:47, 02/08/2018 [^] [ответить]    [к модератору]  
  • +/
    лол, твоя идея нафиг никому не уперлась и стоит она ровно ничего, до тех пор пока не будет реализована кем-то.
     
  • 2.24, Аноним (24), 16:19, 02/08/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Ученые в ШОКЕ! Обитатель опеннета предложил ИДЕЮ! Нужно всего лишь... [Читать далее]
     
  • 2.28, Аноним (28), 21:12, 02/08/2018 [^] [ответить]     [к модератору]  
  • +/
    Просить-то проси, но никто не даст Стоимость идеи в лучше случае нулевая, а обы... весь текст скрыт [показать]
     
  • 1.15, Аноним (-), 10:27, 02/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    повторение истории с yahoo?
     
  • 1.19, Q2W (?), 12:53, 02/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Да уж, вход в свои админки, похоже, действительно надо делать по предварительно генерируемым одноразовым паролям.

    При чём для особенно важных админок генератор этих паролей в веб интерфейс вообще не выводить. Только по ssh их забирать.

     
  • 1.22, 1 (??), 15:10, 02/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Двухфакторная аутентификация с использованием сторонних сервисов для проектов такого уровня недопустима. Можно без дырок в протоколе поиметь через непонятных лиц обслуживающих оператора.
     
     
  • 2.26, Crazy Alex (ok), 18:18, 02/08/2018 [^] [ответить]    [к модератору]  
  • +/
    На самом деле это куда сложнее, чем найти левую контору, с которой нужный оператор сцеплен по SS7 и завернуть себе трафик ненадолго
     
  • 1.27, Нанобот (ok), 19:06, 02/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >атакующие смогли организовать перехват SMS некоторых сотрудников

    перехватывать смс, чтобы получить доступ к архиву десятилетней давности...как-то это тупо

     
     
  • 2.29, zoonman (ok), 18:02, 03/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Тут больше жажда расжиться за счет базы почтовых адресов и старых паролей.
    Ну а хацкерам потешить ЧСВ за счет "я хакнул реддит"
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor