A népszerű közösségimédia-oldal, a Reddit – „narancssárga Usenet hirdetésekkel”, ahogy azt némileg kegyetlen módon hallottuk leírni – a legújabb, jól ismert internetes tulajdon, amely szenved adatok megsértése amelyben ellopták a saját forráskódját.
Az elmúlt hetekben, LastPass és a GitHub bevallottak hasonló tapasztalatokat, amikor a cyer-bűnözők látszólag nagyjából ugyanúgy törtek be és léptek be: élő hozzáférési kódot vagy jelszót találtak ki az egyes alkalmazottak számára, és besurrantak az illető vállalati identitásának leple alatt.
Reddit saját szavaival élve:
A Reddit rendszereket egy kifinomult és célzott adathalász támadás eredményeként törték fel. Hozzáférést nyertek néhány belső dokumentumhoz, kódhoz és néhány belső üzleti rendszerhez.
Nem vagyunk biztosak abban, hogy mennyire alkalmas itt a „kifinomult” jelző, nem utolsósorban azért, mert a Reddit gyorsan kijelenti, hogy:
A legtöbb adathalász kampányhoz hasonlóan a támadó hihetően hangzó felszólításokat küldött az alkalmazottaknak egy olyan webhelyre irányítva, amely klónozta az intranetes átjárónk viselkedését, hogy megkísérelje ellopni a hitelesítő adatokat és a másodlagos tokeneket.
Miután sikeresen megszerezte egyetlen alkalmazott hitelesítő adatait, a támadó hozzáférést kapott néhány belső dokumentumhoz, kódhoz, valamint néhány belső irányítópulthoz és üzleti rendszerhez. Az elsődleges termelési rendszereink (veremünk azon részei, amelyekben a Reddit fut és az adataink nagy részét tárolják) megsértésére utaló jelek nem mutatkoznak.
Más szóval, ez a támadás szinte biztosan nem azért sikerült, mert kifinomult volt, hanem mert nem volt.
Valaki, talán sietős, megérkezett a szerinte határterületre, átadta útlevelét egy útitársnak, nem pedig egy hivatalos határőrnek, majd csapdába esett a semmiben, igazolvány nélkül, miközben a csaló áthajózott. a határátkelő a nevükben.
Az ilyen jellegű identitás-eltérítő támadások egyetlen legfontosabb tényezője nem a kifinomultság, hanem, amint a Reddit fentebb helyesen rámutatott, elfogadhatóság, ami megkönnyíti a jól tájékozott és óvatos egyének számára is a szokások és tapasztalatok alapján történő „átúszást”.
A szokásos viselkedésből fakadó kockázat az, hogy a hivatalos brit közúti jelzéseken egy élénkpiros téglalap található, amely az ÚJ ÚTTERVEZÉS ELŐTT szavakat tartalmazza, és akkor használatos, ha egy forgalmas útszakaszt átszerveznek. A tábla nem azért van, hogy megvédje a régieket az ideges új közlekedőktől, akik bonyolultnak találhatják a nagy csomópontot vagy a körforgalmat. Ez azért van, hogy megvédje azokat az új felhasználókat, akiknek nincs más választásuk, mint óvatosan dolgozni az első alapelvek szerint, és ezért valószínűleg pontosan betartják a közúti szabályokat, a régi utasoktól, akik azt hiszik, hogy „tudják”, hogyan fog viselkedni a forgalom az adott helyen, és ezért hanyagul, helytelen feltételezéseken és „megtanult, de most helytelen” viselkedésen alapul.
Meddig jutottak a szélhámosok?
Mint már említettük, a Reddit néhány saját belső rendszeréhez hozzáfértek a támadók.
A fent felsorolt, többnyire ártalmatlannak tűnő „dokumentumok” és „kódok” mellett a Reddit elismerte, hogy a korábbi és jelenlegi alkalmazottakkal és „kapcsolattartókkal” kapcsolatos információk (feltételezzük, hogy ez magában foglalja, de nem kizárólagosan, a vállalkozókat és egyéb nem állandó alkalmazottakat) ellopták, valamint a hirdető ügyfelekről szóló információkat.
A Reddit nem közölte nyilvánosan, hogy milyen adatmezőket tartalmaztak az ellopott információk, csupán azt, hogy a jogsértés „korlátozott”.
De a szó korlátozott lehet jó jel (pl. név és e-mail cím, és nincs más adat), de ugyanolyan könnyen lehet rossz is (pl. „csak” két adat: a társadalombiztosítási szám és a jogosítvány beolvasása).
Úgy tűnik, a Reddit szolgáltatás regisztrált felhasználói - Redditorok, ahogy ők ismertek – leállhat a Blue Alerttől, a Reddit szerint a vizsgálata eddig semmi jelét nem mutatja, hogy az általa „nem nyilvános adatoknak” nevezett dolgok (más szóval olyan dolgok, amelyeket nem tett közzé a világ számára) lásd egyébként) hozzáfértek a kiberbűnözők.
És amint azt korábban említettük, magukat a Reddit rendszereket – az operációs rendszereket, kódokat és hálózatokat, amelyek a Reddit szolgáltatásokat futtatják – akár felhasználóként, akár látogatóként – úgy tűnik, nem sérültek meg.
Ebből arra következtetünk, hogy nem valószínű, hogy a csalók olyan adatokkal törtek ki, mint a bejelentkezési rekordok, a rendszernaplók, a helyinformációk vagy a jelszókivonatok.
A cég közleményében azt is közölte, hogy továbbra is vizsgálja az esetet (amely 2023-02-05 vasárnap történt).
Tekintettel az eddigi meglehetősen gyors reagálásra, azt feltételezzük, hogy a Reddit a megfelelő időben követni fogja, hogy találjon-e további bizonyítékot a kompromisszumra.
Mit kell tenni?
Őszintén szólva, hacsak nem a Reddit munkatársa vagy hirdetője, nem úgy tűnik, hogy most sok mindent megtehet vagy kell tennie.
(Feltételezzük, ha Ön a Redditnek dolgozik vagy hirdet, hogy a cég már személyesen megkereste Önt, ha az Ön adatai a „korlátozott” ellopott információk közé tartoztak, amit jobb rövid távú válasznak tartunk, mint a az egész világ először.)
Maga a Reddit három javaslatot tett, nevezetesen:
- Védelem az adathalászat ellen jelszókezelő használatával. Ez megnehezíti a megfelelő jelszó elhelyezését a rossz webhelyen, mivel a jelszókezelőt nem téveszti meg a webhely megjelenése, hanem érzelemmentesen dolgozik a címsávban látható weboldal pontos nevével. . Ironikus módon úgy tűnik, hogy ez egy olyan tanács, amelyet a Reddit maga nem követett, mivel a támadók egy hihető, hasonló webhelyet használtak a bejelentkezési adatok ellopására, amelyeket a jelszókezelő feltehetően elutasított volna ismeretlenként.
- Ha tudod, kapcsold be a 2FA-t. Ez azt jelenti, hogy szüksége van egy egyszeri kódra, amely minden bejelentkezéskor változik, így az ellopott jelszó önmagában használhatatlan. Egyetértünk abban, hogy ez egy nagyszerű ötlet, de vegye figyelembe, hogy a Reddit saját 2FA (kéttényezős hitelesítési) mechanizmusa, amely a telefonon lévő alkalmazás által generált, rendszeresen változó hatjegyű kódon alapul, láthatóan itt nem segített, mert a támadók adathalásztak egy aktuális jelszót és egy érvényes-jobbra-most 2FA kódot is.
- Kéthavonta változtassa meg jelszavait. Nem értünk egyet ezzel a tanáccsal, ahogy az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete sem (NIST). Változás a változás érdekében ritkán jó ötlet, mert hajlamos arra, hogy olyan megszokott viselkedést kényszerítsen ki, amely Chester Wisniewski Naked Security barátja és kollégája szavaival élve:mindenkit rászoktat egy rossz szokásra".
A JELSZÓMÍTOSOK MEGOLDÁSA
Annak ellenére, hogy több mint egy évtizede rögzítettük ezt a podcastot, a benne található tanácsok ma is relevánsak és átgondoltak. A jelszó nélküli jövőt még nem értük el, így a jelszóval kapcsolatos kiberbiztonsági tanácsok még jó ideig értékesek lesznek. Hallgassa meg itt, vagy kattintson a teljes átirat.
Röviden: továbbra is a jelszókezelőket ajánljuk, különösen akkor, ha hajlamos arra a szokásra sodródni, hogy nyilvánvaló, azonos vagy akár hasonló jelszavakat válasszon több webhelyhez, anélkül, hogy egyet volna.
Javasoljuk továbbá a jelszókezelőket, mint hasznos eszközt, amellyel elkerülheti az olyan szélhámos webhelyeket, amelyek vizuálisan tökéletesek, de nem felelnek meg a jelszókezelő egyszerű és érzelemmentes elvárásainak.
És azt tanácsoljuk, hogy ahol csak tudja, kapcsolja be a 2FA-t, még akkor is, ha tudjuk, hogy ez egy kis gond.
Mindazonáltal emlékeztetünk arra, hogy a 2FA-kódokat (például az egyszeri 6 számjegyű SMS-eket vagy az alkalmazásalapú üzeneteket) továbbra is lehet adathalászni, ahogyan itt a Reddit esetében is történt, így ezek nem jelentenek mindenre gyógyírt az óvatosságra.
De nem értünk egyet azzal, hogy rendszeresen kényszerítsd magad az összes jelszavad megváltoztatására algoritmikus alapon.
Sokkal jobb, ha azonnal megváltoztatod a jelszavaidat, amikor valóban úgy gondolod, hogy érdemes megtenni, mint arra hagyatkozni, hogy „valamikor úgyis hamarosan megváltoztatom, tehát csak megvárom, amíg a folyamat felszólítja, hogy tegyem meg.”
(Nem azt mondjuk, hogy nem szabad állandóan megváltoztatnod a jelszavaidat, ha ez boldoggá tesz, de ha ezt úgy teszed, mint amit „eljárási követelménynek” nevezhetsz, az hamis biztonságérzetet ad, és elhasználja az időt más olyan feladatokra költeni, amelyek közvetlenül javítják online biztonságát.)
Ahogy korábban is mondtuk, lehet, hogy a jelszó nélküli jövő felé tartunk, de gyanítjuk, hogy még sok éven át mindannyian zsonglőrködni fogunk legalább néhány fontos online szolgáltatás jelszavaival.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://nakedsecurity.sophos.com/2023/02/10/reddit-admits-it-was-hacked-and-data-stolen-says-dont-panic/
- 1
- 2FA
- a
- Rólunk
- felett
- Abszolút
- hozzáférés
- igénybe vett
- mellett
- cím
- felvételt nyer
- Hirdet
- Hirdetés
- tanács
- ellen
- Ügynök
- előre
- Éber
- algoritmikus
- Minden termék
- már
- között
- és a
- app
- támadás
- Hitelesítés
- szerző
- auto
- background-image
- Rossz
- bár
- alapján
- alap
- mert
- előtt
- Jobb
- Nagy
- Bit
- Kék
- határ
- Alsó
- megsértése
- Törés
- Fényes
- Brit
- üzleti
- hívás
- kéri
- Kampányok
- óvatos
- óvatosan
- Központ
- biztosan
- változik
- Változások
- változó
- chester wisniewski
- választás
- kód
- kolléga
- szín
- vállalat
- bonyolult
- kompromisszum
- Fontolja
- tartalmaz
- folytatódik
- vállalkozók
- Társasági
- tudott
- Tanfolyam
- terjed
- Hitelesítő adatok
- Jelenlegi
- Ügyfelek
- kiberbűnözők
- Kiberbiztonság
- dátum
- évtized
- leírt
- DID
- közvetlenül
- kijelző
- dokumentumok
- Nem
- Ennek
- ne
- le-
- vezetés
- Korábban
- könnyen
- alkalmazottak
- különösen
- Még
- Minden
- bizonyíték
- várakozások
- tapasztalat
- Tapasztalatok
- Fields
- Találjon
- végén
- vezetéknév
- következik
- talált
- barát
- ból ből
- Határ
- további
- jövő
- gateway
- generált
- kap
- Ad
- adott
- Goes
- jó
- nagy
- csapkodott
- történt
- boldog
- Cím
- hallott
- magasság
- segít
- hasznos
- itt
- Találat
- lebeg
- Hogyan
- HTML
- HTTPS
- BETEG
- ID
- ötlet
- identiques
- Identitás
- fontos
- javul
- in
- Más
- incidens
- beleértve
- magában foglalja a
- jelzés
- jelzések
- egyéni
- egyének
- információ
- helyette
- Intézet
- kölcsönhatásba
- belső
- vizsgálat
- Ironikusan
- IT
- tételek
- maga
- Ismer
- ismert
- legutolsó
- elrendezés
- Engedély
- Valószínű
- Korlátozott
- Listázott
- él
- elhelyezkedés
- néz
- készült
- Többség
- KÉSZÍT
- Gyártás
- menedzser
- Menedzserek
- sok
- Margó
- Mérkőzés
- max-width
- eszközök
- mechanizmus
- Média
- tag
- említett
- csupán
- üzenetek
- esetleg
- hónap
- több
- a legtöbb
- többszörös
- Meztelen biztonság
- név
- ugyanis
- nemzeti
- Szükség
- hálózatok
- Mindazonáltal
- Új
- nst
- normális
- bejelentés
- szám
- megszerzése
- Nyilvánvaló
- hivatalos
- ONE
- online
- üzemeltetési
- operációs rendszer
- Más
- saját
- alkatrészek
- útlevél
- Jelszó
- Password Manager
- jelszavak
- múlt
- Paul
- tökéletes
- talán
- Személyesen
- Adathalászat
- adathalász támadás
- telefon
- darab
- Egyszerű
- Plató
- Platón adatintelligencia
- PlatoData
- valószínű
- podcast
- pozíció
- állás
- Hozzászólások
- be
- elsődleges
- elvek
- folyamat
- Termelés
- ingatlan
- védelme
- nyilvánosan
- vontatás
- tesz
- Quick
- gyorsan
- új
- ajánl
- feljegyzett
- nyilvántartások
- Piros
- rendszeresen
- válasz
- eredményez
- Kockázat
- út
- szabályok
- futás
- Biztonság
- Mondott
- kedvéért
- azonos
- azt mondja,
- beolvasás
- biztonság
- Úgy tűnik,
- lát
- értelemben
- szolgáltatás
- Szolgáltatások
- rövid
- rövid időszak
- előadás
- Műsorok
- <p></p>
- hasonló
- egyetlen
- weboldal
- Webhely (ek)
- SMS
- So
- eddig
- Közösség
- Közösségi média
- szilárd
- néhány
- némileg
- kifinomult
- forrás
- forráskód
- költ
- verem
- Személyzet
- állvány
- szabványok
- Állami
- meghatározott
- Még mindig
- lopott
- tárolni
- sikeresen
- ilyen
- megfelelő
- SVG
- rendszer
- Systems
- feladatok
- Technológia
- megmondja
- A
- a világ
- azok
- maguk
- ebből adódóan
- dolog
- gondoltam
- három
- Keresztül
- idő
- nak nek
- Ma
- tokenek
- szerszám
- felső
- felé
- forgalom
- átmenet
- átlátszó
- FORDULAT
- alatt
- URL
- us
- használó
- Felhasználók
- Értékes
- Látogató
- várjon
- háló
- weboldal
- Hetek
- jól ismert
- Mit
- vajon
- ami
- míg
- WHO
- egész
- lesz
- nélkül
- szó
- szavak
- Munka
- művek
- világ
- érdemes
- lenne
- Rossz
- év
- te
- A te
- magad
- zephyrnet
