Το Reddit παραδέχεται ότι παραβιάστηκε και κλάπηκε δεδομένα, λέει «Μην πανικοβάλλεσαι»

Ο δημοφιλής ιστότοπος μέσων κοινωνικής δικτύωσης Reddit – «πορτοκαλί Usenet με διαφημίσεις», όπως κάπως άσεμνα ακούσαμε να το περιγράφει – είναι η πιο πρόσφατη γνωστή ιδιοκτησία ιστού που έχει υποστεί παραβιάσεων δεδομένων στο οποίο είχε κλαπεί ο δικός του πηγαίος κώδικας.

Τις τελευταίες εβδομάδες, LastPass και GitHub έχουν ομολογήσει παρόμοιες εμπειρίες, με τους εγκληματίες να παραβιάζουν και να εισέρχονται με τον ίδιο τρόπο: βρίσκοντας έναν κωδικό πρόσβασης ζωντανής πρόσβασης ή κωδικό πρόσβασης για ένα μεμονωμένο μέλος του προσωπικού και κρυφά στην κάλυψη της εταιρικής ταυτότητας αυτού του ατόμου.

Με τα λόγια του Reddit:

Τα συστήματα Reddit παραβιάστηκαν ως αποτέλεσμα μιας εξελιγμένης και άκρως στοχευμένης επίθεσης phishing. Απέκτησαν πρόσβαση σε ορισμένα εσωτερικά έγγραφα, κώδικα και ορισμένα εσωτερικά επιχειρηματικά συστήματα.

Δεν είμαστε σίγουροι πόσο κατάλληλο είναι το επίθετο "σοφιστικέ" εδώ, κυρίως επειδή το Reddit συνεχίζει γρήγορα να δηλώνει ότι:

Όπως και στις περισσότερες εκστρατείες ηλεκτρονικού ψαρέματος, ο εισβολέας έστειλε εύλογες προτροπές υποδεικνύοντας τους υπαλλήλους σε έναν ιστότοπο που κλωνοποιούσε τη συμπεριφορά της πύλης intranet μας, σε μια προσπάθεια κλοπής διαπιστευτηρίων και διακριτικών δεύτερου παράγοντα.

Μετά την επιτυχή απόκτηση των διαπιστευτηρίων ενός μόνο υπαλλήλου, ο εισβολέας απέκτησε πρόσβαση σε ορισμένα εσωτερικά έγγραφα, κώδικα, καθώς και σε ορισμένους εσωτερικούς πίνακες εργαλείων και επιχειρηματικά συστήματα. Δεν παρουσιάζουμε ενδείξεις παραβίασης των συστημάτων πρωτογενούς παραγωγής μας (τα μέρη της στοίβας μας που εκτελούν το Reddit και αποθηκεύουν την πλειονότητα των δεδομένων μας).

Με άλλα λόγια, αυτή η επίθεση σχεδόν σίγουρα πέτυχε όχι επειδή ήταν εξεζητημένη, αλλά γιατί δεν ήταν.

Κάποιος, ίσως βιαστικά, έφτασε σε αυτό που νόμιζαν ότι ήταν τα σύνορα, παρέδωσε το διαβατήριό του σε έναν συνταξιδιώτη αντί σε έναν επίσημο συνοριακό πράκτορα και μετά βρέθηκε παγιδευμένος στο πουθενά-χωρίς ταυτότητα, ενώ ο απατεώνας διέσχιζε το συνοριακό πέρασμα στο όνομά τους.

Ο μόνος πιο σημαντικός παράγοντας σε μια επίθεση πειρατείας ταυτότητας αυτού του είδους δεν είναι η πολυπλοκότητα αλλά, όπως σωστά επεσήμανε το Reddit παραπάνω, αληθοφάνεια, καθιστώντας εύκολο ακόμη και για καλά ενημερωμένα και προσεκτικά άτομα να «περνούν» με βάση τη συνήθεια και την εμπειρία.

Ο κίνδυνος που ενέχει η συνήθης συμπεριφορά είναι γιατί η επίσημη βρετανική οδική σήμανση περιλαμβάνει ένα έντονο κόκκινο ορθογώνιο που περιέχει τις λέξεις NEW ROAD LAYOUT AHEAD που χρησιμοποιείται όταν αναδιοργανώνεται ένα πολυσύχναστο κομμάτι δρόμου. Η πινακίδα δεν είναι εκεί για να προστατεύει τους παλιούς χρονομετρητές από νευρικούς νέους χρήστες του δρόμου που μπορεί να θεωρήσουν περίπλοκη μια μεγάλη διασταύρωση ή κυκλικό κόμβο. Είναι εκεί για να προστατεύσει αυτούς τους νέους χρήστες, που δεν έχουν άλλη επιλογή από το να εργάζονται προσεκτικά από τις πρώτες αρχές, και επομένως είναι πιθανό να ακολουθούν τους οδικούς κανόνες μια χαρά, από παλιούς που πιστεύουν ότι «ξέρουν» πώς θα συμπεριφερθεί η κυκλοφορία σε αυτήν την τοποθεσία, και Επομένως, πλεύστε απρόσεκτα, με βάση λανθασμένες υποθέσεις και «μαθημένη-αλλά-τώρα-ακατάλληλη» συμπεριφορά.

Πόσο μακριά έφτασαν οι απατεώνες;

Όπως αναφέρθηκε ήδη, οι επιτιθέμενοι είχαν πρόσβαση σε ορισμένα από τα εσωτερικά συστήματα του Reddit.

Εκτός από τα ως επί το πλείστον αβλαβή «έγγραφα» και «κώδικα» που αναφέρονται παραπάνω, το Reddit παραδέχτηκε ότι οι πληροφορίες σχετικά με προηγούμενους και παρόντες υπαλλήλους και «επαφές» (υποθέτουμε ότι περιλαμβάνουν, ενδεικτικά, εργολάβους και άλλα μη μόνιμο προσωπικό) κλάπηκε, μαζί με πληροφορίες για διαφημιστικούς πελάτες.

Το Reddit δεν έχει δηλώσει δημόσια τι είδους πεδία δεδομένων περιλαμβάνονταν στις κλεμμένες πληροφορίες, απλώς ότι η παραβίαση ήταν «περιορισμένη».

Αλλά η λέξη περιορισμένη μπορεί να είναι καλό σημάδι (π.χ. όνομα και διεύθυνση ηλεκτρονικού ταχυδρομείου και όχι άλλα δεδομένα), αλλά θα μπορούσε εξίσου εύκολα να είναι κακό (π.χ. «μόνο» δύο στοιχεία δεδομένων: ο αριθμός κοινωνικής ασφάλισής σας και μια σάρωση της άδειας οδήγησης).

Οι εγγεγραμμένοι χρήστες της υπηρεσίας Reddit, φαίνεται – Redditors, όπως είναι γνωστό – μπορούν να αποχωρήσουν από το Blue Alert, με το Reddit να λέει ότι η έρευνά του μέχρι στιγμής δεν δείχνει καμία ένδειξη ότι αυτό που αποκαλεί «μη δημόσια δεδομένα» (με άλλα λόγια, πράγματα που δεν δημοσιεύσατε για τον κόσμο δείτε πάντως) είχαν πρόσβαση οι κυβερνοεγκληματίες.

Και, όπως αναφέρθηκε προηγουμένως, τα ίδια τα συστήματα Reddit –τα λειτουργικά συστήματα, ο κώδικας και τα δίκτυα που εκτελούν τις υπηρεσίες Reddit με τις οποίες αλληλεπιδράτε, είτε ως χρήστης είτε ως επισκέπτης– δεν φαίνεται να έχουν παραβιαστεί.

Από αυτό, συμπεραίνουμε ότι οι απατεώνες είναι απίθανο να έχουν απομακρυνθεί με δεδομένα όπως εγγραφές σύνδεσης, αρχεία καταγραφής συστήματος, πληροφορίες τοποθεσίας ή κατακερματισμοί κωδικών πρόσβασης.

Η εταιρεία ανέφερε επίσης, στην ειδοποίησή της, ότι διερευνά ακόμη αυτό το περιστατικό (το οποίο συνέβη την Κυριακή 2023-02-05).

Δεδομένης της σχετικά γρήγορης ανταπόκρισής του μέχρι στιγμής, υποθέτουμε ότι το Reddit θα δώσει συνέχεια για να πει εάν βρήκε περαιτέρω στοιχεία συμβιβασμού.

Τι να κάνω;

Για να είμαι ειλικρινής, εκτός και αν είστε υπάλληλος ή διαφημιστής του Reddit, δεν φαίνεται να υπάρχουν πολλά που μπορείτε ή πρέπει να κάνετε αυτήν τη στιγμή.

(Υποθέτουμε, εάν εργάζεστε για ή διαφημίζεστε με το Reddit, ότι η εταιρεία θα έχει ήδη επικοινωνήσει προσωπικά μαζί σας εάν τα δεδομένα σας ήταν μεταξύ των "περιορισμένων" πληροφοριών που κλάπηκαν, κάτι που θα θεωρούσαμε καλύτερη βραχυπρόθεσμη απάντηση από το να ενημερώσουμε ολόκληρος ο κόσμος πρώτα.)

Το ίδιο το Reddit έχει κάνει τρεις προτάσεις, και συγκεκριμένα:

• Προστατευτείτε από το phishing χρησιμοποιώντας έναν διαχειριστή κωδικών πρόσβασης. Αυτό καθιστά πιο δύσκολη την τοποθέτηση του σωστού κωδικού πρόσβασης σε λάθος ιστότοπο, επειδή ο διαχειριστής κωδικών πρόσβασης δεν ξεγελιέται από την εμφάνιση και την αίσθηση ενός ιστότοπου, αλλά λειτουργεί ασυναίσθητα με το ακριβές όνομα της ιστοσελίδας που βλέπει στη γραμμή διευθύνσεων . Κατά ειρωνικό τρόπο, αυτή φαίνεται να είναι μια συμβουλή που το ίδιο το Reddit δεν ακολούθησε, δεδομένου ότι οι επιτιθέμενοι χρησιμοποίησαν έναν εύλογο ιστότοπο για να κλέψουν διαπιστευτήρια σύνδεσης, τα οποία ένας διαχειριστής κωδικών πρόσβασης πιθανότατα θα είχε απορρίψει ως άγνωστη.
• Ενεργοποιήστε το 2FA αν μπορείτε. Αυτό σημαίνει ότι χρειάζεστε έναν κωδικό μιας χρήσης που αλλάζει σε κάθε σύνδεση, γεγονός που καθιστά έναν κλεμμένο κωδικό πρόσβασης άχρηστο από μόνος του. Συμφωνούμε ότι αυτή είναι μια εξαιρετική ιδέα, αλλά σημειώστε ότι ο μηχανισμός του ίδιου του Reddit για 2FA (έλεγχος ταυτότητας δύο παραγόντων), που βασίζεται σε έναν εξαψήφιο κωδικό που αλλάζει τακτικά που δημιουργείται από μια εφαρμογή στο τηλέφωνό σας, προφανώς δεν βοήθησε εδώ, επειδή οι εισβολείς έκαναν php και έναν τρέχοντα κωδικό πρόσβασης και έναν έγκυρο κωδικό 2FA.
• Αλλάζετε τους κωδικούς σας κάθε δύο μήνες. Διαφωνούμε με αυτή τη συμβουλή, όπως και το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των ΗΠΑ (NIST). Η αλλαγή για χάρη της αλλαγής είναι σπάνια καλή ιδέα, γιατί τείνει να επιβάλλει συνήθη συμπεριφορά που, σύμφωνα με τα λόγια του φίλου και συναδέλφου της Naked Security, Chester Wisniewski, «συνηθίζει σε όλους μια κακή συνήθεια".

---

ΚΑΤΑΣΚΕΥΗ ΜΥΘΩΝ ΤΟΥ ΚΩΔΙΚΟΥ

Παρόλο που ηχογραφήσαμε αυτό το podcast πριν από περισσότερο από μια δεκαετία, οι συμβουλές που περιέχει εξακολουθούν να είναι επίκαιρες και στοχαστικές σήμερα. Δεν έχουμε φτάσει ακόμη στο μέλλον χωρίς κωδικό πρόσβασης, επομένως οι συμβουλές για την ασφάλεια στον κυβερνοχώρο που σχετίζονται με τον κωδικό πρόσβασης θα είναι πολύτιμες για αρκετό καιρό ακόμη. Ακούστε εδώ ή κάντε κλικ για ένα πλήρες αντίγραφο.

---

Εν συντομία: συνεχίζουμε να προτείνουμε διαχειριστές κωδικών πρόσβασης, ειδικά αν έχετε την τάση να παρασύρετε στη συνήθεια να επιλέγετε προφανείς, πανομοιότυπους ή ακόμα και παρόμοιους κωδικούς πρόσβασης για πολλούς ιστότοπους χωρίς έναν.

Συνιστούμε επίσης τους διαχειριστές κωδικών πρόσβασης ως ένα χρήσιμο εργαλείο για να σας ελκύει από τοποθεσίες απατεώνων που σας φαίνονται τέλειοι οπτικά, αλλά δεν ανταποκρίνονται στις απλές και χωρίς συναισθήματα προσδοκίες του διαχειριστή κωδικών πρόσβασης.

Και σας συμβουλεύουμε να ενεργοποιήσετε το 2FA όπου μπορείτε, παρόλο που ξέρουμε ότι είναι λίγο μπελάς.

Ωστόσο, σας υπενθυμίζουμε ότι οι κωδικοί 2FA (όπως αυτά τα εφάπαξ 6-ψήφια μηνύματα SMS ή τα μηνύματα που βασίζονται σε εφαρμογές) εξακολουθούν να μπορούν να υποστούν ηλεκτρονικό ψάρεμα, όπως συνέβη εδώ στο Reddit, επομένως δεν αποτελούν θεραπεία για προσοχή.

Αλλά δεν συμφωνούμε να αναγκάζετε τον εαυτό σας να αλλάζει τακτικά όλους τους κωδικούς πρόσβασής σας σε αλγοριθμική βάση.

Είναι πολύ καλύτερο να αλλάζετε τους κωδικούς πρόσβασής σας αμέσως όποτε πιστεύετε πραγματικά ότι αξίζει να το κάνετε, παρά να βασιστείτε στο "Θα το αλλάξω σύντομα ούτως ή άλλως, οπότε θα περιμένω μέχρι να μου πει η διαδικασία να το κάνω."

(Δεν λέμε ότι δεν πρέπει να αλλάζετε τους κωδικούς πρόσβασής σας συνεχώς αν αυτό σας κάνει χαρούμενους, αλλά αν το κάνετε ως αυτό που θα μπορούσατε να ονομάσετε "διαδικαστική απαίτηση" θα σας δώσει μια λανθασμένη αίσθηση ασφάλειας και θα καταναλώσετε χρόνο που θα μπορούσατε ξοδέψτε σε άλλες εργασίες που βελτιώνουν άμεσα την ασφάλειά σας στο διαδίκτυο.)

Όπως έχουμε ξαναπεί, μπορεί να οδεύουμε προς ένα μέλλον χωρίς κωδικό πρόσβασης, αλλά υποψιαζόμαστε ότι όλοι θα ταχυδακτυλουργούμε με κωδικούς πρόσβασης για τουλάχιστον κάποια σημαντική διαδικτυακή υπηρεσία για πολλά χρόνια ακόμα.

---

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://nakedsecurity.sophos.com/2023/02/10/reddit-admits-it-was-hacked-and-data-stolen-says-dont-panic/