Технический директор системы онлайн-форумов Reddit Крис Слоу (Chris Slowe) опубликовал пост об утечке данных, которой подвергся ресурс. По его словам, злоумышленники взломали аккаунты нескольких работников сайта и похитили адреса электронной почты, логины, хэши паролей пользователей за период с 2005 по 2007 годы. Помимо этого, они получили доступ к email-рассылкам с  3 по 17 июня этого года.

Киберпреступники не ограничились кражей пользовательских данных: они также добрались до исходного кода Reddit, бэкапов, внутренних логов и других рабочих файлов. Атака шла с 14 по 18 июня, работники сайта обнаружили ее лишь спустя сутки.

Помимо угрозы фишинга и компрометации учетных записей на других сайтах, аналитики опасаются деанонимизации посетителей ресурса. Reddit скрывает электронные адреса, привязанные к аккаунтам, и многие пользователи публикуют посты или оставляют комментарии, будучи уверенными в том, что их настоящие имена останутся в тайне. После утечки email-рассылок это может обернуться против них.

Разработчики винят в произошедшем ненадежность двухфакторной аутентификации с использованием SMS. Этой же версии придерживается независимый ИБ-эксперт Брайан Кребс (Brian Krebs):

«Этот инцидент наглядно доказывает: применение SMS в двухфакторной аутентификации может усыпить внимательность как пользователей, так и сервисов».

Исследователи Американского национального института стандартов и технологий (NIST) предупреждали об уязвимости этого метода в 2016 году. Тогда они сосредоточились на обходе защиты с помощью VoIP-сервисов.

В июне сразу две социальные сети расширили возможности аутентификации. Так, пользователи Facebook смогут получать коды подтверждения не только в виде SMS-сообщений, но и с помощью специальных сервисов, таких как Google Autheticator и Duo Security.

Примеру платформы последовали разработчики Twitter и представили физический USB-ключ для подтверждения входа в аккаунт. В руководстве сервиса микроблогов считают, что он станет подспорьем в борьбе со спамом и фишингом.

Категории: Хакеры