Ο δημοφιλής ιστότοπος μέσων κοινωνικής δικτύωσης Reddit – «πορτοκαλί Usenet με διαφημίσεις», όπως κάπως άσεμνα ακούσαμε να το περιγράφει – είναι η πιο πρόσφατη γνωστή ιδιοκτησία ιστού που έχει υποστεί παραβιάσεων δεδομένων στο οποίο είχε κλαπεί ο δικός του πηγαίος κώδικας.
Τις τελευταίες εβδομάδες, LastPass και GitHub έχουν ομολογήσει παρόμοιες εμπειρίες, με τους εγκληματίες να παραβιάζουν και να εισέρχονται με τον ίδιο τρόπο: βρίσκοντας έναν κωδικό πρόσβασης ζωντανής πρόσβασης ή κωδικό πρόσβασης για ένα μεμονωμένο μέλος του προσωπικού και κρυφά στην κάλυψη της εταιρικής ταυτότητας αυτού του ατόμου.
Με τα λόγια του Reddit:
Τα συστήματα Reddit παραβιάστηκαν ως αποτέλεσμα μιας εξελιγμένης και άκρως στοχευμένης επίθεσης phishing. Απέκτησαν πρόσβαση σε ορισμένα εσωτερικά έγγραφα, κώδικα και ορισμένα εσωτερικά επιχειρηματικά συστήματα.
Δεν είμαστε σίγουροι πόσο κατάλληλο είναι το επίθετο "σοφιστικέ" εδώ, κυρίως επειδή το Reddit συνεχίζει γρήγορα να δηλώνει ότι:
Όπως και στις περισσότερες εκστρατείες ηλεκτρονικού ψαρέματος, ο εισβολέας έστειλε εύλογες προτροπές υποδεικνύοντας τους υπαλλήλους σε έναν ιστότοπο που κλωνοποιούσε τη συμπεριφορά της πύλης intranet μας, σε μια προσπάθεια κλοπής διαπιστευτηρίων και διακριτικών δεύτερου παράγοντα.
Μετά την επιτυχή απόκτηση των διαπιστευτηρίων ενός μόνο υπαλλήλου, ο εισβολέας απέκτησε πρόσβαση σε ορισμένα εσωτερικά έγγραφα, κώδικα, καθώς και σε ορισμένους εσωτερικούς πίνακες εργαλείων και επιχειρηματικά συστήματα. Δεν παρουσιάζουμε ενδείξεις παραβίασης των συστημάτων πρωτογενούς παραγωγής μας (τα μέρη της στοίβας μας που εκτελούν το Reddit και αποθηκεύουν την πλειονότητα των δεδομένων μας).
Με άλλα λόγια, αυτή η επίθεση σχεδόν σίγουρα πέτυχε όχι επειδή ήταν εξεζητημένη, αλλά γιατί δεν ήταν.
Κάποιος, ίσως βιαστικά, έφτασε σε αυτό που νόμιζαν ότι ήταν τα σύνορα, παρέδωσε το διαβατήριό του σε έναν συνταξιδιώτη αντί σε έναν επίσημο συνοριακό πράκτορα και μετά βρέθηκε παγιδευμένος στο πουθενά-χωρίς ταυτότητα, ενώ ο απατεώνας διέσχιζε το συνοριακό πέρασμα στο όνομά τους.
Ο μόνος πιο σημαντικός παράγοντας σε μια επίθεση πειρατείας ταυτότητας αυτού του είδους δεν είναι η πολυπλοκότητα αλλά, όπως σωστά επεσήμανε το Reddit παραπάνω, αληθοφάνεια, καθιστώντας εύκολο ακόμη και για καλά ενημερωμένα και προσεκτικά άτομα να «περνούν» με βάση τη συνήθεια και την εμπειρία.
Ο κίνδυνος που ενέχει η συνήθης συμπεριφορά είναι γιατί η επίσημη βρετανική οδική σήμανση περιλαμβάνει ένα έντονο κόκκινο ορθογώνιο που περιέχει τις λέξεις NEW ROAD LAYOUT AHEAD που χρησιμοποιείται όταν αναδιοργανώνεται ένα πολυσύχναστο κομμάτι δρόμου. Η πινακίδα δεν είναι εκεί για να προστατεύει τους παλιούς χρονομετρητές από νευρικούς νέους χρήστες του δρόμου που μπορεί να θεωρήσουν περίπλοκη μια μεγάλη διασταύρωση ή κυκλικό κόμβο. Είναι εκεί για να προστατεύσει αυτούς τους νέους χρήστες, που δεν έχουν άλλη επιλογή από το να εργάζονται προσεκτικά από τις πρώτες αρχές, και επομένως είναι πιθανό να ακολουθούν τους οδικούς κανόνες μια χαρά, από παλιούς που πιστεύουν ότι «ξέρουν» πώς θα συμπεριφερθεί η κυκλοφορία σε αυτήν την τοποθεσία, και Επομένως, πλεύστε απρόσεκτα, με βάση λανθασμένες υποθέσεις και «μαθημένη-αλλά-τώρα-ακατάλληλη» συμπεριφορά.
Πόσο μακριά έφτασαν οι απατεώνες;
Όπως αναφέρθηκε ήδη, οι επιτιθέμενοι είχαν πρόσβαση σε ορισμένα από τα εσωτερικά συστήματα του Reddit.
Εκτός από τα ως επί το πλείστον αβλαβή «έγγραφα» και «κώδικα» που αναφέρονται παραπάνω, το Reddit παραδέχτηκε ότι οι πληροφορίες σχετικά με προηγούμενους και παρόντες υπαλλήλους και «επαφές» (υποθέτουμε ότι περιλαμβάνουν, ενδεικτικά, εργολάβους και άλλα μη μόνιμο προσωπικό) κλάπηκε, μαζί με πληροφορίες για διαφημιστικούς πελάτες.
Το Reddit δεν έχει δηλώσει δημόσια τι είδους πεδία δεδομένων περιλαμβάνονταν στις κλεμμένες πληροφορίες, απλώς ότι η παραβίαση ήταν «περιορισμένη».
Αλλά η λέξη περιορισμένη μπορεί να είναι καλό σημάδι (π.χ. όνομα και διεύθυνση ηλεκτρονικού ταχυδρομείου και όχι άλλα δεδομένα), αλλά θα μπορούσε εξίσου εύκολα να είναι κακό (π.χ. «μόνο» δύο στοιχεία δεδομένων: ο αριθμός κοινωνικής ασφάλισής σας και μια σάρωση της άδειας οδήγησης).
Οι εγγεγραμμένοι χρήστες της υπηρεσίας Reddit, φαίνεται – Redditors, όπως είναι γνωστό – μπορούν να αποχωρήσουν από το Blue Alert, με το Reddit να λέει ότι η έρευνά του μέχρι στιγμής δεν δείχνει καμία ένδειξη ότι αυτό που αποκαλεί «μη δημόσια δεδομένα» (με άλλα λόγια, πράγματα που δεν δημοσιεύσατε για τον κόσμο δείτε πάντως) είχαν πρόσβαση οι κυβερνοεγκληματίες.
Και, όπως αναφέρθηκε προηγουμένως, τα ίδια τα συστήματα Reddit –τα λειτουργικά συστήματα, ο κώδικας και τα δίκτυα που εκτελούν τις υπηρεσίες Reddit με τις οποίες αλληλεπιδράτε, είτε ως χρήστης είτε ως επισκέπτης– δεν φαίνεται να έχουν παραβιαστεί.
Από αυτό, συμπεραίνουμε ότι οι απατεώνες είναι απίθανο να έχουν απομακρυνθεί με δεδομένα όπως εγγραφές σύνδεσης, αρχεία καταγραφής συστήματος, πληροφορίες τοποθεσίας ή κατακερματισμοί κωδικών πρόσβασης.
Η εταιρεία ανέφερε επίσης, στην ειδοποίησή της, ότι διερευνά ακόμη αυτό το περιστατικό (το οποίο συνέβη την Κυριακή 2023-02-05).
Δεδομένης της σχετικά γρήγορης ανταπόκρισής του μέχρι στιγμής, υποθέτουμε ότι το Reddit θα δώσει συνέχεια για να πει εάν βρήκε περαιτέρω στοιχεία συμβιβασμού.
Τι να κάνω;
Για να είμαι ειλικρινής, εκτός και αν είστε υπάλληλος ή διαφημιστής του Reddit, δεν φαίνεται να υπάρχουν πολλά που μπορείτε ή πρέπει να κάνετε αυτήν τη στιγμή.
(Υποθέτουμε, εάν εργάζεστε για ή διαφημίζεστε με το Reddit, ότι η εταιρεία θα έχει ήδη επικοινωνήσει προσωπικά μαζί σας εάν τα δεδομένα σας ήταν μεταξύ των "περιορισμένων" πληροφοριών που κλάπηκαν, κάτι που θα θεωρούσαμε καλύτερη βραχυπρόθεσμη απάντηση από το να ενημερώσουμε ολόκληρος ο κόσμος πρώτα.)
Το ίδιο το Reddit έχει κάνει τρεις προτάσεις, και συγκεκριμένα:
- Προστατευτείτε από το phishing χρησιμοποιώντας έναν διαχειριστή κωδικών πρόσβασης. Αυτό καθιστά πιο δύσκολη την τοποθέτηση του σωστού κωδικού πρόσβασης σε λάθος ιστότοπο, επειδή ο διαχειριστής κωδικών πρόσβασης δεν ξεγελιέται από την εμφάνιση και την αίσθηση ενός ιστότοπου, αλλά λειτουργεί ασυναίσθητα με το ακριβές όνομα της ιστοσελίδας που βλέπει στη γραμμή διευθύνσεων . Κατά ειρωνικό τρόπο, αυτή φαίνεται να είναι μια συμβουλή που το ίδιο το Reddit δεν ακολούθησε, δεδομένου ότι οι επιτιθέμενοι χρησιμοποίησαν έναν εύλογο ιστότοπο για να κλέψουν διαπιστευτήρια σύνδεσης, τα οποία ένας διαχειριστής κωδικών πρόσβασης πιθανότατα θα είχε απορρίψει ως άγνωστη.
- Ενεργοποιήστε το 2FA αν μπορείτε. Αυτό σημαίνει ότι χρειάζεστε έναν κωδικό μιας χρήσης που αλλάζει σε κάθε σύνδεση, γεγονός που καθιστά έναν κλεμμένο κωδικό πρόσβασης άχρηστο από μόνος του. Συμφωνούμε ότι αυτή είναι μια εξαιρετική ιδέα, αλλά σημειώστε ότι ο μηχανισμός του ίδιου του Reddit για 2FA (έλεγχος ταυτότητας δύο παραγόντων), που βασίζεται σε έναν εξαψήφιο κωδικό που αλλάζει τακτικά που δημιουργείται από μια εφαρμογή στο τηλέφωνό σας, προφανώς δεν βοήθησε εδώ, επειδή οι εισβολείς έκαναν php και έναν τρέχοντα κωδικό πρόσβασης και έναν έγκυρο κωδικό 2FA.
- Αλλάζετε τους κωδικούς σας κάθε δύο μήνες. Διαφωνούμε με αυτή τη συμβουλή, όπως και το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των ΗΠΑ (NIST). Η αλλαγή για χάρη της αλλαγής είναι σπάνια καλή ιδέα, γιατί τείνει να επιβάλλει συνήθη συμπεριφορά που, σύμφωνα με τα λόγια του φίλου και συναδέλφου της Naked Security, Chester Wisniewski, «συνηθίζει σε όλους μια κακή συνήθεια".
ΚΑΤΑΣΚΕΥΗ ΜΥΘΩΝ ΤΟΥ ΚΩΔΙΚΟΥ
Παρόλο που ηχογραφήσαμε αυτό το podcast πριν από περισσότερο από μια δεκαετία, οι συμβουλές που περιέχει εξακολουθούν να είναι επίκαιρες και στοχαστικές σήμερα. Δεν έχουμε φτάσει ακόμη στο μέλλον χωρίς κωδικό πρόσβασης, επομένως οι συμβουλές για την ασφάλεια στον κυβερνοχώρο που σχετίζονται με τον κωδικό πρόσβασης θα είναι πολύτιμες για αρκετό καιρό ακόμη. Ακούστε εδώ ή κάντε κλικ για ένα πλήρες αντίγραφο.
Εν συντομία: συνεχίζουμε να προτείνουμε διαχειριστές κωδικών πρόσβασης, ειδικά αν έχετε την τάση να παρασύρετε στη συνήθεια να επιλέγετε προφανείς, πανομοιότυπους ή ακόμα και παρόμοιους κωδικούς πρόσβασης για πολλούς ιστότοπους χωρίς έναν.
Συνιστούμε επίσης τους διαχειριστές κωδικών πρόσβασης ως ένα χρήσιμο εργαλείο για να σας ελκύει από τοποθεσίες απατεώνων που σας φαίνονται τέλειοι οπτικά, αλλά δεν ανταποκρίνονται στις απλές και χωρίς συναισθήματα προσδοκίες του διαχειριστή κωδικών πρόσβασης.
Και σας συμβουλεύουμε να ενεργοποιήσετε το 2FA όπου μπορείτε, παρόλο που ξέρουμε ότι είναι λίγο μπελάς.
Ωστόσο, σας υπενθυμίζουμε ότι οι κωδικοί 2FA (όπως αυτά τα εφάπαξ 6-ψήφια μηνύματα SMS ή τα μηνύματα που βασίζονται σε εφαρμογές) εξακολουθούν να μπορούν να υποστούν ηλεκτρονικό ψάρεμα, όπως συνέβη εδώ στο Reddit, επομένως δεν αποτελούν θεραπεία για προσοχή.
Αλλά δεν συμφωνούμε να αναγκάζετε τον εαυτό σας να αλλάζει τακτικά όλους τους κωδικούς πρόσβασής σας σε αλγοριθμική βάση.
Είναι πολύ καλύτερο να αλλάζετε τους κωδικούς πρόσβασής σας αμέσως όποτε πιστεύετε πραγματικά ότι αξίζει να το κάνετε, παρά να βασιστείτε στο "Θα το αλλάξω σύντομα ούτως ή άλλως, οπότε θα περιμένω μέχρι να μου πει η διαδικασία να το κάνω."
(Δεν λέμε ότι δεν πρέπει να αλλάζετε τους κωδικούς πρόσβασής σας συνεχώς αν αυτό σας κάνει χαρούμενους, αλλά αν το κάνετε ως αυτό που θα μπορούσατε να ονομάσετε "διαδικαστική απαίτηση" θα σας δώσει μια λανθασμένη αίσθηση ασφάλειας και θα καταναλώσετε χρόνο που θα μπορούσατε ξοδέψτε σε άλλες εργασίες που βελτιώνουν άμεσα την ασφάλειά σας στο διαδίκτυο.)
Όπως έχουμε ξαναπεί, μπορεί να οδεύουμε προς ένα μέλλον χωρίς κωδικό πρόσβασης, αλλά υποψιαζόμαστε ότι όλοι θα ταχυδακτυλουργούμε με κωδικούς πρόσβασης για τουλάχιστον κάποια σημαντική διαδικτυακή υπηρεσία για πολλά χρόνια ακόμα.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://nakedsecurity.sophos.com/2023/02/10/reddit-admits-it-was-hacked-and-data-stolen-says-dont-panic/
- 1
- 2FA
- a
- Σχετικα
- πάνω από
- Απόλυτος
- πρόσβαση
- πρόσβαση
- Επιπλέον
- διεύθυνση
- παράδεκτος
- Διαφήμιση
- Διαφήμιση
- συμβουλές
- κατά
- Πράκτορας
- εμπρός
- Ειδοποίηση
- αλγοριθμικός
- Όλα
- ήδη
- μεταξύ των
- και
- app
- επίθεση
- Πιστοποίηση
- συγγραφέας
- αυτόματη
- background-image
- Κακός
- μπαρ
- βασίζονται
- βάση
- επειδή
- πριν
- Καλύτερα
- Μεγάλος
- Κομμάτι
- Μπλε
- σύνορο
- Κάτω μέρος
- παραβίαση
- Σπάζοντας
- Φωτεινό
- Βρετανοί
- επιχείρηση
- κλήση
- κλήσεις
- Καμπάνιες
- προσεκτικός
- με προσοχή
- Κέντρο
- σίγουρα
- αλλαγή
- Αλλαγές
- αλλαγή
- Τσέστερ Βισνιέφσκι
- επιλογή
- κωδικός
- συνάδελφος
- χρώμα
- εταίρα
- περίπλοκος
- συμβιβασμός
- Εξετάστε
- Περιέχει
- ΣΥΝΕΧΕΙΑ
- εργολάβοι
- Εταιρικές εκδηλώσεις
- θα μπορούσε να
- Πορεία
- κάλυμμα
- Διαπιστεύσεις
- Ρεύμα
- Πελάτες
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- ημερομηνία
- δεκαετία
- περιγράφεται
- DID
- κατευθείαν
- Display
- έγγραφα
- Όχι
- πράξη
- Μην
- κάτω
- οδήγηση
- Νωρίτερα
- εύκολα
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- υπαλλήλους
- ειδικά
- Even
- Κάθε
- απόδειξη
- προσδοκίες
- εμπειρία
- Δραστηριοτητες
- Πεδία
- Εύρεση
- τέλος
- Όνομα
- ακολουθήστε
- Βρέθηκαν
- φίλος
- από
- Σύνορο
- περαιτέρω
- μελλοντικός
- πύλη
- παράγεται
- παίρνω
- Δώστε
- δεδομένου
- πηγαίνει
- καλός
- εξαιρετική
- hacked
- συνέβη
- ευτυχισμένος
- Επικεφαλίδα
- ακούσει
- ύψος
- βοήθεια
- χρήσιμο
- εδώ
- Επιτυχία
- φτερουγίζω
- Πως
- HTML
- HTTPS
- ΕΓΩ ΘΑ
- ID
- ιδέα
- identiques
- Ταυτότητα
- σημαντικό
- βελτίωση
- in
- Σε άλλες
- περιστατικό
- περιλαμβάνονται
- περιλαμβάνει
- ένδειξη
- ενδείξεις
- ατομικές
- άτομα
- πληροφορίες
- αντί
- Ινστιτούτο
- αλληλεπιδρούν
- εσωτερικός
- έρευνα
- Ειρωνικώς
- IT
- αντικειμένων
- εαυτό
- Ξέρω
- γνωστός
- αργότερο
- σχέδιο
- Άδεια
- Πιθανός
- Περιωρισμένος
- Εισηγμένες
- ζω
- τοποθεσία
- ματιά
- που
- Η πλειοψηφία
- ΚΑΝΕΙ
- Κατασκευή
- διευθυντής
- Διευθυντές
- πολοί
- Περιθώριο
- Ταίριασμα
- max-width
- μέσα
- μηχανισμός
- Εικόνες / Βίντεο
- μέλος
- που αναφέρθηκαν
- απλώς
- μηνύματα
- ενδέχεται να
- μήνες
- περισσότερο
- πλέον
- πολλαπλούς
- Γυμνή ασφάλεια
- όνομα
- και συγκεκριμένα
- εθνικός
- Ανάγκη
- δίκτυα
- παρ 'όλα αυτά
- Νέα
- nist
- κανονικός
- κοινοποίηση
- αριθμός
- την απόκτηση
- Εμφανή
- επίσημος ανώτερος υπάλληλος
- ONE
- διαδικτυακά (online)
- λειτουργίας
- λειτουργικά συστήματα
- ΑΛΛΑ
- δική
- εξαρτήματα
- διαβατήριο
- Κωδικός Πρόσβασης
- Διευθυντής κωδικού πρόσβασης
- Κωδικοί πρόσβασης
- Το παρελθόν
- Παύλος
- τέλειος
- ίσως
- Προσωπικά
- Phishing
- επίθεση phishing
- τηλέφωνο
- κομμάτι
- Σκέτη
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- εύλογος
- το podcast
- θέση
- Θέση
- Δημοσιεύσεις
- παρόν
- πρωταρχικός
- αρχές
- διαδικασια μας
- παραγωγή
- περιουσία
- προστασία
- δημοσίως
- τραβώντας
- βάζω
- Γρήγορα
- γρήγορα
- πρόσφατος
- συνιστώ
- καταγράφονται
- αρχεία
- Red
- τακτικά
- απάντησης
- αποτέλεσμα
- Κίνδυνος
- δρόμος
- κανόνες
- τρέξιμο
- Ασφάλεια
- Είπε
- χάρη
- ίδιο
- λέει
- σάρωση
- ασφάλεια
- φαίνεται
- βλέπει
- αίσθηση
- υπηρεσία
- Υπηρεσίες
- Κοντά
- βραχυπρόθεσμα
- δείχνουν
- Δείχνει
- υπογράψουν
- παρόμοιες
- ενιαίας
- ιστοσελίδα
- Sites
- SMS
- So
- μέχρι τώρα
- Μ.Κ.Δ
- social media
- στέρεο
- μερικοί
- κάπως
- εξελιγμένα
- Πηγή
- πρωτογενής κώδικας
- δαπανήσει
- σωρός
- Προσωπικό
- σταθεί
- πρότυπα
- Κατάσταση
- δήλωσε
- Ακόμη
- κλαπεί
- κατάστημα
- Επιτυχώς
- τέτοιος
- κατάλληλος
- SVG
- σύστημα
- συστήματα
- εργασίες
- Τεχνολογία
- λέει
- Η
- ο κόσμος
- τους
- τους
- επομένως
- πράγμα
- σκέψη
- τρία
- Μέσω
- ώρα
- προς την
- σήμερα
- κουπόνια
- εργαλείο
- κορυφή
- προς
- ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ
- μετάβαση
- διαφανής
- ΣΤΡΟΦΗ
- υπό
- URL
- us
- Χρήστες
- Χρήστες
- Πολύτιμος
- Επισκέπτης
- περιμένετε
- ιστός
- Ιστοσελίδα : www.example.gr
- Εβδ.
- πολύ γνωστό
- Τι
- αν
- Ποιό
- ενώ
- Ο ΟΠΟΊΟΣ
- ολόκληρο
- θα
- χωρίς
- λέξη
- λόγια
- Εργασία
- λειτουργεί
- κόσμος
- αξία
- θα
- Λανθασμένος
- χρόνια
- Εσείς
- Σας
- τον εαυτό σας
- zephyrnet