Reddit 承认发生信息安全事故,部分用户数据泄露

下一篇文章

苹果三季度财报总结:服务强美,硬件兴中

Reddit 今天宣布,6 月份时的一个信息安全漏洞导致攻击者入侵了该公司内部系统的某些部分,但泄露的数据并非敏感数据。值得注意的是,这次攻击绕开了 Reddit 通过短信实现的双因子认证系统。这也给仍在使用短信来部署双因子认证的互联网服务敲响了警钟。

Reddit 首席技术官克里斯·斯洛维(Chris Slowe,即 KeyserSosa)在博客中解释 称,该公司于 6 月 19 日发现了这次黑客攻击,估计攻击发生在 6 月 14 日到 18 日之间。他表示,这次攻击“影响了少量我们的员工帐号,以及云计算和代码托管服务提供商”,获得了“访问某些系统的只读权限,这些系统中包含备份数据、源代码和其他日志文件”。

此次攻击绕开了双因子身份验证系统。不幸的是,这个系统偶尔或可选地允许使用短信,而不是专门的验证应用或令牌卡。短信存在严重的固有安全缺陷,这种方法于 2016 年 被 NIST(美国国家标准与技术研究院)宣布为不可接受 。不过,短时间内取消短信并不现实,许多服务仍然使用短信做出主要或备用的双因子验证方法。

需要指出,Reddit 本身只通过令牌卡来提供双因子身份认证。但事实证明,至少有一家供应商没有这样做,而攻击者恰恰利用了这点。(斯洛维表示,已经确认没有手机遭到黑客攻击,这意味着作为认证的短信代码在其他地方被拦截,有可能是通过欺骗手机或供应商的方式。)

尽管 Reddit 尚未提供黑客已获取内容的完整清单,但斯洛维表示,用户关心的主要有两个方面:

  • 一份从 2007 年开始、包括网站运营前两年数据的完整拷贝。数据中包括用户名、加密/散列密码、电子邮件地址、公开发布的内容和私信消息。
  • 6 月份的邮件摘要、用户名和相关邮件。

与 2007 年时相比,Reddit 已经完全不同,规模要大很多。曾经使用 Digg 的用户还会记得,Reddit 当时只是个很小的平台。

尽管如此,这些数据组合在一起对恶意分子来说仍然有用。如果我是攻击者,我就会发送假的邮件摘要引诱用户登录,或建立用户名和电子邮件地址配对表,并与其他网站的信息进行匹配。当然正如斯洛维所说,你可能会关心,“Reddit 帐号上是否有任何信息是你不想被关联到电子邮件地址的。”

如果你受到影响,那么你会收到电子邮件或私信,告知你可能的风险。例如,如果你的密码自 2007 年以来从未更改过。但实际上,这本身就是个安全风险。我于 2007 年 7 月注册 Reddit,但尚未收到这样的通知。

斯洛维还指出,该公司已经按要求通知相关部门,并在事故发生后对信息安全进行了加固。

翻译:维金

Reddit breach exposes non-critical user data