Niezwykle popularny serwis Reddit został zaatakowany przez hakerów. Wykradzione informacje nie są jednak bardzo niebezpieczne – są to loginy i hasła sprzed 11 lat.
Sprawa dotyczy danych z 2007 roku
Skradzione informacje to hasła i loginy do kont, które były aktualne przed rokiem 2007. Czyli w praktyce, jeśli nawet korzystamy z tego serwisu od wielu lat, nie jesteśmy raczej zagrożeni (chyba że nie zmienialiśmy hasła od ponad dekady). Oczywiście Reddit został zhakowany dużo wcześniej, niż wyciekło to do opinii publicznej. Od czerwca ekipa odpowiedzialna za ten serwis prowadzi wnikliwe dochodzenie w sprawie luk w systemie.
Jak to w ogóle możliwe?
Z Reddita korzysta ponad 234 milionów użytkowników. Jest to jeden z najpopularniejszych serwisów w internecie. Mimo to grupie hakerskiej udało się zaatakować takiego giganta. Wynika to z przestarzałego systemu bezpieczeństwa, jaki obowiązywał wśród pracowników Reddita. Podczas logowania się do swoich kont, pracownicy korzystali z uwierzytelnienia dwuskładnikowego – hasło i kod SMS. Hakerzy byli więc w stanie bez większych problemów przechwycić wiadomości tekstowe, i za pomocą kodów włamali się do systemu. Uwierzytelnianie dwuetapowe z użyciem SMS jest bardzo przestarzałe i powszechnie uznawane za niebezpieczne. W tym momencie Reddit korzysta z innego systemu, który oparty jest o fizyczne tokeny – nośniki USB, lub połączenia komunikacyjne krótkiego zasięgu.
Czy Reddit nie jest bezpieczny?
Serwis na pewno wyciągnie pozytywne wnioski, i będzie bardziej uważał na swoje bezpieczeństwo. Ten atak nie był specjalnie niebezpieczny, a na pewno odpowiednie osoby w Reddicie staną się dużo bardziej wyczulone na tego typu kwestie. Być może konsekwencją będzie kompleksowe udoskonalanie systemu bezpieczeństwa, i wymyślenie jeszcze lepszego systemu niż ten oparty na tokenach. Co do pytania o bezpieczeństwo – jeśli informacja tego typu zostaje przekazana mediom, oznacza to, że ekipa Reddita raczej ma wszystko pod kontrolą, osłabieni nie narażali by się na dodatkowe zainteresowanie ze strony grup hakerskich. A więc nie należy panikować.
Źródło: CNet