Önemli bir veri ihlali. Bu sefer kurban Reddit…
Reddit’in hesap yasağı politikası ya da önyargı moderatörleri ile birileri gerçekten çok kızgın görünüyor.
Reddit sosyal medya ağı bugün , Haziran ayında kullanıcıların e-posta adresleri ve kullanıcı adlarını ve şifreli şifreleri içeren eski bir 2007 veritabanı yedeği de dahil olmak üzere bazı kullanıcı verilerini açığa çıkaran bir güvenlik ihlali yaşadığını açıkladı .
Reddit’e göre, bilinmeyen hacker (ler), kullanıcılarının yedekleme verilerini, kaynak kodunu, dahili günlüklerini ve diğer dosyaları içeren bazı sistemlerine salt okunur erişim sağlamayı başardı.
Çarşamba platformuna yayınlanan bir yazıda, Reddit Chief Technology Officer Christopher Slowe, hack’ın ciddi bir şey olduğunu itiraf etti, ancak kullanıcılarına hackerların Reddit sistemlerine erişim sağlamadığı konusunda güvence verdi.
“[Saldırganlar] Reddit bilgilerini değiştiremedi ve olaydan bu yana tüm üretim sırlarını ve API anahtarlarını kilitlemek ve döndürmek ve kayıt ve izleme sistemlerimizi geliştirmek için adımlar attık,” diye yazdı Slowe.
Slowe’a göre, yedeklemede yer alan en önemli veriler, hesap kimlik bilgileri (kullanıcı adları ve bunların karşılık gelen tuzlanmış ve karma şifreleri), e-posta adresleri ve özel mesajlar dahil tüm içeriktir.
Saldırgan SMS tabanlı İki Faktörlü Kimlik Doğrulama Baypas
Reddit, 19 Haziran’daki veri ihlali hakkında bilgi aldı ve saldırganın, 14 Haziran ve 18 Haziran tarihleri arasında, Reddit çalışanlarının kendi bulut ve kaynak kodu barındırma sağlayıcıları ile hesaplarından birkaçını ihlal ettiğini söyledi. Bu saldırı, SMS mesajlarının kestirilmesiyle gerçekleştirildi . Reddit çalışanlarına bir defalık şifrelere ulaşarak, sonunda iki faktörlü kimlik doğrulamasını (2FA) Reddit’in yerinde saldırıları atlatmasını sağladı.
Güvenlik ihlali, hala SMS tabanlı kimlik doğrulamasına güvenen ve güvenli olduğuna inananlar için bir uyandırma çağrısı olmalıdır . Bu yöntemden devam etmenin ve SMS tabanlı olmayan iki faktörlü kimlik doğrulamaya geçmenin zamanı geldi. Reddit ayrıca, kullanıcıları bir uygulamaya göre benzersiz bir kerelik şifre oluşturarak, cep telefonunuzu içeren belirteç tabanlı iki faktörlü kimlik doğrulamasına geçmeye teşvik ediyor.
Reddit, kullanıcıların hesaplarının dahil olup olmadığını kontrol etmek için ihlal bildirimi sayfasında belirtilen birkaç adımı takip edebileceğini söyledi.
Dahası, Reddit giriş kimlik bilgilerinin ihlalden çalınmasına neden olan kullanıcılar için parolaları sıfırlayacaktır ve ayrıca tüm etkilenen kullanıcıları kendilerini nasıl koruyabileceklerine dair ipuçları verecektir.