Сегодня утром Reddit объявил о том, что стал жертвой утечки данных, в результате которой хакеру удалось получить доступ к адресам электронной почты некоторых активных учетных записей, а также к резервной копии базы данных за 2007 год, содержащей старые «соленые» и хешированные пароли.
Утечка данных произошла в период с 14 по 18 июня. Хакеры получили доступ к учетным записям сотрудников Reddit через облачных провайдеров и хостинг исходного кода компании, а не через сам сайт. Эти системы использовали двухфакторную аутентификацию на основе SMS, которая не сработала, и основная атака произошла путем перехвата SMS.
Reddit предоставил подробный список того, что было получено. Была украдена полная копия старой резервной копии базы данных, содержащей ранние данные пользователей Reddit. Компания сообщает, что наиболее значимые данные в резервной копии включали учетные данные (имя пользователя и «соленые» хешированные пароли), адреса электронной почты, а также публичные и приватные сообщения.
Были также получены сводки электронной почты, отправленные Reddit в июне 2018 года. Они включали имена пользователей, связанные с адресом электронной почты, а также предлагаемые публикации из выбранных сабреддитов.
Reddit отправляет электронные письма пользователям, пострадавшим от взлома базы данных. Это не затрагивает людей, зарегистрировавшихся на Reddit после 2007 года.
Клиенты, у которых нет адреса электронной почты, связанного с их учетными записями, или те, кто не включил опцию «сводки электронной почты» в настройках пользователя, не пострадали от утечки сводок электронной почты.
Reddit уведомил правоохранительные органы и сотрудничает с расследованием, а также принял меры для повышения безопасности привилегированного доступа к своим системам.
Reddit заявил, что сбросит пароли затронутых пользователей, но сайт рекомендует всем пользователям Reddit рассмотреть возможность обновления своих паролей до надежных и уникальных, а также включить двухфакторную аутентификацию. Двухфакторная аутентификация Reddit осуществляется через приложение-аутентификатор и не уязвима к перехвату SMS.
