Reddit遭到入侵:攻击者在员工帐户中绕过了双因素身份验证

2018-08-03 11:48:37 8 896

互联网上访问量最大的网站之一,Reddit正式报道了黑客入侵。未知的攻击者设法绕过该公司几名员工的帐户中的双因素身份验证,并窃取了各种各样的数据:从源代码到用户的电子邮件地址。



2FA

信息安全专家早就警告说,双因素认证方案,与手机相连,并一次性代码的短信信息,不能被认为是可靠的。因此,在2016年标准与技术研究所(美国国家标准与技术研究所 ,NIST) 提出了一个有趣的文件,根据这些,双因素认证实施使用短信信息是“不可接受的”和“不安全”。



Reddit员工发生的事件再次证明了这一系统的不安全性。该事件的一个关键方面刚刚开始绕过双因素身份验证:罪犯总算拦截受害者的短信信息。事实上,这意味着第一个罪犯是能够破解雇员的帐户(因为它发生,没有指定),然后绕到和双因素认证。

究竟是如何实现的,Reddit的代表再次没有说明,但是可以有很多选择。例如,攻击者可以利用在SS7漏洞,可以实现所谓的SIM交换,即重新释放的受害者的SIM卡,请联系您的网络提供商和应用社会工程,或克隆的SIM卡。

我注意到,在最近几年的SIM卡上这种攻击是说,写了很多,尤其是在2018年7月新闻记者副主板公布结果 的调查,证明这种做法是广泛被黑客使用,使他们能够“偷”证书记录和其他人的身份在几十和几百。

Reddit妥协

但回到Reddit妥协。

据报道,事件发生在2018年7月14日至18日之间,并且在7月19日发现了渗透事件。攻击者攻击了一些未命名的Reddit员工,并渗入了多个系统,获得了对数据的访问权限。因此,黑客得到了用户的电子邮件地址,以及2007年5月的数据库备份。自Reddit于2005年成立并获得以来,该数据库包含该网站两年的所有信息,包括其所有内容和用户消息(包括个人信息),以及旧的散列密码和盐。

该公司的代表认为,犯罪分子无法在受感染的服务器上进行写入,因此无法替换或扭曲任何重要数据。尽管如此,开发人员仍然增加了安全性(例如,更改了API密钥)和监控。

不幸的是,从黑客那里获取阅读权,因此他们设法不仅窃取了上述数据库,而且还获取了2018年6月3日至7月7日期间发送的更新近的电子邮件摘要。这些有趣和推荐的帖子集合包含有关用户名和相关电子邮件地址的信息。


此外,攻击者还可以访问Reddit源代码,内部文档,日志和员工工作文件。但是,由于用户数据被盗更为关键,因此尚未报告此细节。

未调用受损用户的确切数量,但公司确保将相应通知所有受害者。此外,鼓励在2007年之前在网站上注册的所有用户更改密码,如果由于某种原因他们已经超过10年没有这样做。


如上所述,Reddit开发人员目前正在努力加强安全和监控措施,并已被执法机构通知此事件。在官方消息中通过SMS进行双因素身份验证的不安全性直接被称为发生事件的主要原因。因此,现在Reddit员工将从SMS切换到使用2FA-tokens。

关于作者

评论8次

要评论?请先  登录  或  注册
  • 8楼
    2018-8-8 11:38

    说了半天以为会说怎么绕过双因素的

  • 7楼
    2018-8-4 13:16

    是的,我看了,如果俄文翻英文,就翻成compromise了. 估计,因为Google translate最强的就是翻译英语,其他语言与英语的对译。而其它语种的交叉对译,把握要小些。为了增加把握,google会把其它语种都翻译成英语来参考。

  • 6楼
    2018-8-4 11:43
    rehawk123

    我突然发现。”Reddit妥协但回到Reddit妥协。”原文是用的Compromised 吗?这里不是妥协的意思,是被攻破,被黑掉的意思, 但是又没有彻底黑掉,所以用这个词比较准确。中文有些东西很难准确翻译英文,英文其实也一样。但是翻译成妥协就像机器翻译了,哈哈,个人意见,欢迎纠正。

    1

    原文是俄语。。。

  • 5楼
    2018-8-4 11:42
    rehawk123

    今天早上Google的2fa不正常哦,是不是看到这个,做了什么调整?电话没打给我,就让我等几个小时再尝试

    1

    确实是机翻啊,我也觉得妥协那里很奇怪

  • 4楼
    2018-8-3 17:43

    我突然发现。”Reddit妥协但回到Reddit妥协。”原文是用的Compromised 吗?这里不是妥协的意思,是被攻破,被黑掉的意思, 但是又没有彻底黑掉,所以用这个词比较准确。中文有些东西很难准确翻译英文,英文其实也一样。但是翻译成妥协就像机器翻译了,哈哈,个人意见,欢迎纠正。

  • 3楼
    2018-8-3 17:30
    rehawk123

    今天早上Google的2fa不正常哦,是不是看到这个,做了什么调整?电话没打给我,就让我等几个小时再尝试

    1
    未知数

    不清楚啊。https://www.youtube.com/watch?v=mLh1Nmqa6OM

    2

    SMS搞定了,语音电话未必搞得定。如果电话有转接,google可能就不会打。不信那个尝试一下,还有机器,IP很多因数,账号几乎不可破

  • 2楼
    2018-8-3 16:05
    rehawk123

    今天早上Google的2fa不正常哦,是不是看到这个,做了什么调整?电话没打给我,就让我等几个小时再尝试

    1

    不清楚啊。[url]https://www.youtube.com/watch?v=mLh1Nmqa6OM

  • 1楼
    2018-8-3 13:23

    今天早上Google的2fa不正常哦,是不是看到这个,做了什么调整?电话没打给我,就让我等几个小时再尝试