Det populære sociale medie Reddit – "orange Usenet med annoncer", som vi noget ungådigt har hørt det beskrevet – er den seneste velkendte webejendom, der har lidt en bruddet hvor dens egen kildekode blev stjålet.
I de seneste uger, LastPass , GitHub har tilstået lignende oplevelser, hvor cyerkriminelle tilsyneladende bryder ind og går ind på stort set samme måde: ved at finde ud af en live adgangskode eller adgangskode til en individuel medarbejder og snige sig ind under dække af den pågældende persons virksomhedsidentitet.
Med Reddits egne ord:
Reddit-systemer blev hacket som et resultat af et sofistikeret og meget målrettet phishing-angreb. De fik adgang til nogle interne dokumenter, kode og nogle interne forretningssystemer.
Vi er ikke sikre på, hvor velegnet adjektivet "sofistikeret" er her, ikke mindst fordi Reddit hurtigt fortsætter med at fastslå, at:
Som i de fleste phishing-kampagner udsendte angriberen plausibelt lydende prompter, der pegede medarbejdere til et websted, der klonede adfærden fra vores intranetgateway, i et forsøg på at stjæle legitimationsoplysninger og anden faktor-tokens.
Efter at have opnået en enkelt medarbejders legitimationsoplysninger, fik hackeren adgang til nogle interne dokumenter, kode samt nogle interne dashboards og forretningssystemer. Vi viser ingen indikationer på brud på vores primære produktionssystemer (de dele af vores stak, der kører Reddit og gemmer størstedelen af vores data).
Med andre ord, dette angreb lykkedes næsten helt sikkert, ikke fordi det var sofistikeret, men fordi det ikke var.
Nogen, måske i en fart, ankom til det, de troede var grænsen, afleverede deres pas til en medrejsende i stedet for til en officiel grænseagent og befandt sig derefter fanget i intetsteds-land uden noget ID, mens bedrageren sejlede igennem grænseovergangen i deres navn.
Den vigtigste enkeltfaktor i et identitetskapringsangreb af denne art er ikke sofistikeret, men, som Reddit med rette påpegede ovenfor, plausibilitet, hvilket gør det nemt selv for velinformerede og forsigtige personer at "coast igennem" baseret på vane og erfaring.
Risikoen forbundet med sædvanlig adfærd er grunden til, at officielle britiske vejskilte inkluderer et knaldrødt rektangel, der indeholder ordene NY VEJLAYOUT AHEAD, der bruges, når et travlt stykke vej bliver omorganiseret. Skiltet er ikke til for at beskytte oldtimere mod nervøse nye trafikanter, som måske finder et stort kryds eller rundkørsel kompliceret. Det er der for at beskytte de nye brugere, som ikke har andet valg end at arbejde forsigtigt ud fra de første principper, og som derfor sandsynligvis følger færdselsreglerne fint, fra oldtimere, der tror, de "ved", hvordan trafikken vil opføre sig på det sted, og sejler derfor skødesløst igennem, baseret på forkerte antagelser og "lært-men-nu-ukorrekt" adfærd.
Hvor langt nåede skurkene?
Som allerede nævnt blev nogle af Reddits egne interne systemer tilgået af angriberne.
Ud over de for det meste harmløst klingende "dokumenter" og "kode" angivet ovenfor, har Reddit indrømmet, at oplysninger om tidligere og nuværende medarbejdere og "kontakter" (vi antager, at dette inkluderer, men er ikke begrænset til, entreprenører og andre ikke-fastansatte) blev stjålet sammen med oplysninger om reklamekunder.
Reddit har ikke oplyst offentligt, hvilken slags datafelter der var inkluderet i den stjålne information, blot at bruddet var "begrænset".
Men ordet begrænset kan være et godt tegn (f.eks. navn og e-mailadresse, og ingen andre data), men kan lige så nemt være en dårlig ting (f.eks. "kun" to dataelementer: dit cpr-nummer og en scanning af dit kørekort).
Tilmeldte brugere af Reddit-tjenesten ser det ud til – redditors, som de som bekendt kan træde tilbage fra Blue Alert, hvor Reddit siger, at dens undersøgelse indtil videre ikke viser nogen indikation af, at det, den kalder "ikke-offentlige data" (med andre ord, ting, som du ikke har lagt ud for verden til se alligevel) blev tilgået af cyberkriminelle.
Og som tidligere nævnt, synes selve Reddit-systemerne – de operativsystemer, kode og netværk, der kører de Reddit-tjenester, du interagerer med, hvad enten det er som bruger eller besøgende – ikke at være blevet brudt.
Ud fra dette udleder vi, at skurkene næppe er sluppet af sted med data såsom login-registreringer, systemlogfiler, placeringsoplysninger eller kodeords-hash.
Selskabet oplyste også i sin anmeldelse, at det stadig undersøger denne hændelse (som skete søndag 2023-02-05).
I betragtning af dets rimeligt hurtige svar indtil videre, gætter vi på, at Reddit vil følge op med tiden for at sige, om det fandt yderligere beviser på kompromis.
Hvad skal jeg gøre?
For at være ærlig, medmindre du er Reddit-medarbejder eller annoncør, ser det ikke ud til, at der er meget, du kan eller skal gøre lige nu.
(Vi antager, at hvis du arbejder for eller annoncerer med Reddit, at virksomheden allerede vil have kontaktet dig personligt, hvis dine data var blandt de "begrænsede" stjålne oplysninger, hvilket vi ville betragte som et bedre kortsigtet svar end at fortælle hele verden først.)
Reddit har selv lavet tre forslag, nemlig:
- Beskyt mod phishing ved at bruge en adgangskodeadministrator. Dette gør det sværere at sætte den rigtige adgangskode ind på det forkerte websted, fordi adgangskodemanageren ikke bliver snydt af et websteds udseende og følelse, men arbejder følelsesløst med det nøjagtige navn på den webside, den ser i adresselinjen . Ironisk nok ser dette ud til at være et råd, som Reddit ikke selv fulgte, i betragtning af at angriberne brugte et plausibelt look-alike-websted til at stjæle login-legitimationsoplysninger, hvilket en adgangskodeadministrator formentlig ville have afvist som ukendt.
- Slå 2FA til, hvis du kan. Det betyder, at du har brug for en engangskode, der ændres ved hvert login, hvilket gør en stjålet adgangskode ubrugelig i sig selv. Vi er enige om, at dette er en god idé, men bemærk, at Reddits egen mekanisme til 2FA (to-faktor autentificering), baseret på en regelmæssigt skiftende sekscifret kode genereret af en app på din telefon, tilsyneladende ikke hjalp her, fordi angriberne phishede både en aktuel adgangskode og en gyldig lige nu 2FA-kode.
- Skift dine adgangskoder hver anden måned. Vi er uenige i dette råd, ligesom US National Institute of Standards and Technology (NIST). Forandring for forandringens skyld er sjældent en god idé, fordi det har en tendens til at gennemtvinge vanemæssig adfærd, som, med Naked Security-vennen og kollegaen Chester Wisniewskis ord, "får alle til at vane en dårlig vane".
MYTER TIL AT BRUGE PASSWORD
Selvom vi optog denne podcast for mere end ti år siden, er rådene, den indeholder, stadig relevante og gennemtænkte i dag. Vi har ikke nået den adgangskodeløse fremtid endnu, så adgangskoderelateret rådgivning om cybersikkerhed vil være værdifuld i et godt stykke tid endnu. Lyt med her, eller klik videre for en fuld udskrift.
Kort sagt: vi fortsætter med at anbefale adgangskodeadministratorer, især hvis du har en tendens til at gå ind i vanen med at vælge indlysende, identiske eller endda lignende adgangskoder til flere websteder uden en.
Vi anbefaler også adgangskodeadministratorer som et nyttigt værktøj til at trække dig op på bedrageriske websteder, der ser visuelt perfekte ud for dig, men som ikke matcher de almindelige og følelsesløse forventninger fra din adgangskodeadministrator.
og vi råder dig til at tænde for 2FA, hvor du kan, selvom vi godt ved, at det er lidt bøvlet.
Vi minder dig ikke desto mindre om, at 2FA-koder (såsom disse engangs 6-cifrede SMS eller app-baserede beskeder) stadig kan phishes, som det skete her for Reddit, så de er ikke en kur mod forsigtighed.
Men vi er ikke enige i at tvinge dig selv til regelmæssigt at ændre alle dine adgangskoder på algoritmisk basis.
Det er meget bedre at ændre dine adgangskoder med det samme, når du virkelig synes, det er værd at gøre det, end at stole på "Jeg vil alligevel ændre det engang snart, så jeg venter bare, indtil processen fortæller mig at gøre det."
(Vi siger ikke, at du ikke må ændre dine adgangskoder hele tiden, hvis det gør dig glad, men at gøre det som, hvad du kan kalde et "procedurekrav", vil give dig en falsk følelse af sikkerhed og bruge den tid, du kunne bruge på andre opgaver, der direkte forbedrer din onlinesikkerhed.)
Som vi har sagt før, er vi måske på vej mod en fremtid uden adgangskode, men vi formoder, at vi alle vil jonglere med adgangskoder til i det mindste en vigtig onlinetjeneste i mange år endnu.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://nakedsecurity.sophos.com/2023/02/10/reddit-admits-it-was-hacked-and-data-stolen-says-dont-panic/
- 1
- 2FA
- a
- Om
- over
- absolutte
- adgang
- af udleverede
- Desuden
- adresse
- indrømmede
- Annoncer
- Reklame
- rådgivning
- mod
- Agent
- forude
- Alert
- algoritmisk
- Alle
- allerede
- blandt
- ,
- app
- angribe
- Godkendelse
- forfatter
- auto
- background-billede
- Bad
- Bar
- baseret
- grundlag
- fordi
- før
- Bedre
- Big
- Bit
- Blå
- grænse
- Bund
- brud
- Breaking
- Bright
- Britiske
- virksomhed
- ringe
- Opkald
- Kampagner
- forsigtig
- forsigtigt
- center
- sikkert
- lave om
- Ændringer
- skiftende
- chester wisniewski
- valg
- kode
- kollega
- farve
- selskab
- kompliceret
- kompromis
- Overvej
- indeholder
- fortsæt
- entreprenører
- Corporate
- kunne
- Kursus
- dæksel
- Legitimationsoplysninger
- Nuværende
- Kunder
- cyberkriminelle
- Cybersecurity
- data
- årti
- beskrevet
- DID
- direkte
- Skærm
- dokumenter
- Er ikke
- gør
- Dont
- ned
- kørsel
- tidligere
- nemt
- medarbejdere
- især
- Endog
- Hver
- bevismateriale
- forventninger
- erfaring
- Oplevelser
- Fields
- Finde
- ende
- Fornavn
- følger
- fundet
- ven
- fra
- Frontier
- yderligere
- fremtiden
- gateway
- genereret
- få
- Giv
- given
- Goes
- godt
- stor
- hacket
- skete
- Gem
- Overskrift
- hørt
- højde
- hjælpe
- hjælpsom
- link.
- Hit
- hover
- Hvordan
- HTML
- HTTPS
- SYG
- ID
- idé
- identisk
- Identity
- vigtigt
- Forbedre
- in
- I andre
- hændelse
- medtaget
- omfatter
- tegn
- indikationer
- individuel
- enkeltpersoner
- oplysninger
- i stedet
- Institut
- interagere
- interne
- undersøgelse
- ironisk
- IT
- Varer
- selv
- Kend
- kendt
- seneste
- Layout
- Licens
- Sandsynlig
- Limited
- Børsnoterede
- leve
- placering
- Se
- lavet
- Flertal
- maerker
- Making
- leder
- Ledere
- mange
- Margin
- Match
- max-bredde
- midler
- mekanisme
- Medier
- medlem
- nævnte
- blot
- beskeder
- måske
- måned
- mere
- mest
- flere
- Naked Security
- navn
- nemlig
- national
- Behov
- net
- Ikke desto mindre
- Ny
- NIST
- normal
- underretning
- nummer
- opnå
- Obvious
- officiel
- ONE
- online
- drift
- operativsystemer
- Andet
- egen
- dele
- pas
- Adgangskode
- Password Manager
- Nulstilling/ændring af adgangskoder
- forbi
- paul
- perfekt
- måske
- Personligt
- Phishing
- phishing-angreb
- telefon
- stykke
- Almindeligt
- plato
- Platon Data Intelligence
- PlatoData
- plausibel
- podcast
- position
- Indlæg
- Indlæg
- præsentere
- primære
- principper
- behandle
- produktion
- ejendom
- beskytte
- offentligt
- trækker
- sætte
- Hurtig
- hurtigt
- nylige
- anbefaler
- registreres
- optegnelser
- Rød
- regelmæssigt
- relevant
- svar
- resultere
- Risiko
- vej
- regler
- Kør
- Sikkerhed
- Said
- skyld
- samme
- siger
- scanne
- sikkerhed
- synes
- Sees
- forstand
- tjeneste
- Tjenester
- Kort
- kort sigt
- Vis
- Shows
- underskrive
- lignende
- enkelt
- websted
- Websteder
- SMS
- So
- indtil nu
- Social
- sociale medier
- solid
- nogle
- noget
- sofistikeret
- Kilde
- kildekode
- tilbringe
- stable
- Personale
- stå
- standarder
- Tilstand
- erklærede
- Stadig
- stjålet
- butik
- Succesfuld
- sådan
- egnede
- SVG
- systemet
- Systemer
- opgaver
- Teknologier
- fortæller
- verdenen
- deres
- selv
- derfor
- ting
- tænkte
- tre
- Gennem
- tid
- til
- i dag
- Tokens
- værktøj
- top
- mod
- Trafik
- overgang
- gennemsigtig
- TUR
- under
- URL
- us
- Bruger
- brugere
- Værdifuld
- Visitor
- vente
- web
- Hjemmeside
- uger
- Kendt
- Hvad
- hvorvidt
- som
- mens
- WHO
- Hele
- vilje
- uden
- ord
- ord
- Arbejde
- virker
- world
- værd
- ville
- Forkert
- år
- Du
- Din
- dig selv
- zephyrnet
