Reddit周三报道了一起数据泄露事件。好消息是什么呢?没有太重要的东西被盗。坏消息呢?它涉及一个双因素身份验证骗局。
在6月中旬的入侵中,黑客访问了Reddit的旧备份,其中包含用户数据,如散列2007年的密码。罪犯还查看了Reddit的“电子邮件摘要(在新窗口中打开),如果你提供的话,它可以将用户名与电子邮件地址关联起来。
换句话说,这次入侵似乎只暴露了现有用户的电子邮件地址信息,以及十多年前Reddit老粉丝的密码数据。
“攻击者没有获得对Reddit系统的写访问权限;他们获得了一些包含备份数据、源代码和其他日志的系统的只读访问权限,”Reddit工程师KeyserSosa在一份声明中说帖子(在新窗口中打开)详细介绍了安全事件。
尽管如此,这次攻击还是给IT安全社区敲响了警钟,因为攻击者是通过侵入理应受到保护的员工账户来做到这一点的双因素身份验证。
这些账户不仅在登录时需要密码,而且还需要一个特殊的一次性密码,该密码将通过员工的智能手机通过短信发送。
Reddit的KeyserSosa说:“我们了解到基于短信的身份验证并不像我们希望的那样安全,主要的攻击是通过短信拦截。”
黑客是如何盗取短信的呢?这没有你想的那么难。在过去,网络犯罪分子会冒充受害者的身份欺骗让手机运营商获得用户的电话号码。拥有更多技术专长和合适硬件的黑客也可以夯(在新窗口中打开)利用蜂窝技术收集附近的短信或暂时欺骗某人的电话号码。
无论情况如何,Reddit正在利用这次安全事件鼓励公众转向非短信的双因素身份验证。这需要你的智能手机生成一个特殊的一次性密码应用程序(在新窗口中打开)。另一个解决方案是使用基于硬件的安全密钥,谷歌就是这么做的停止网络钓鱼在公司员工账户上。
如果您没有双重身份验证,那么在最重要的帐户上使用它是一个好主意,例如脸谱网或者你的银行,通常可以在设置页面中激活。即使是基于短信的身份验证也比简单地用密码保护您的帐户要好。
对于登录凭证可能被盗的Reddit用户,该网站将重置密码,并向受影响的用户发送如何保护自己的提示。
该网站称:“不管Reddit是否提示你更改密码,想想你是否还在使用11年前在Reddit上使用的密码。”