Reddit admite que foi hackeado e dados roubados, diz “Não entre em pânico”

Reddit admite que foi hackeado e dados roubados, diz “Não entre em pânico”

Carimbo de data / hora: 10 de fevereiro de 2023 12:59
Reddit admite que foi hackeado e dados roubados, diz “Não entre em pânico” PlatoBlockchain Data Intelligence. Pesquisa vertical. Ai.
by Paul Ducklin

O popular site de mídia social Reddit – “Usenet laranja com anúncios”, como ouvimos de forma pouco graciosa ser descrito – é a mais recente propriedade da web conhecida a sofrer um violação de dados em que seu próprio código-fonte foi roubado.

Nas últimas semanas, LastPass e GitHub confessaram experiências semelhantes, com cibercriminosos aparentemente invadindo e invadindo da mesma maneira: descobrindo um código de acesso ou senha em tempo real para um membro individual da equipe e entrando sorrateiramente sob a identidade corporativa desse indivíduo.

Nas próprias palavras do Reddit:

Os sistemas do Reddit foram invadidos como resultado de um ataque de phishing sofisticado e altamente direcionado. Eles obtiveram acesso a alguns documentos internos, código e alguns sistemas de negócios internos.

Não temos certeza de quão adequado é o adjetivo “sofisticado” aqui, até porque o Reddit rapidamente afirma que:

Como na maioria das campanhas de phishing, o invasor enviou prompts que pareciam plausíveis, apontando para os funcionários um site que clonava o comportamento de nosso gateway de intranet, na tentativa de roubar credenciais e tokens de segundo fator.

Depois de obter com sucesso as credenciais de um único funcionário, o invasor obteve acesso a alguns documentos e códigos internos, bem como a alguns painéis internos e sistemas de negócios. Não mostramos indícios de violação de nossos sistemas de produção primários (as partes de nossa pilha que executam o Reddit e armazenam a maioria de nossos dados).

Em outras palavras, esse ataque quase certamente teve sucesso não porque era sofisticado, mas porque não foi.

Alguém, talvez com pressa, chegou ao que pensava ser a fronteira, entregou o passaporte a um companheiro de viagem em vez de a um agente oficial da fronteira e, em seguida, viu-se preso em terra de lugar nenhum sem qualquer documento de identidade enquanto o impostor navegava por ela. a passagem de fronteira em seu nome.

O fator mais importante em um ataque de sequestro de identidade desse tipo não é sofisticação, mas, como o Reddit apontou corretamente acima, plausibilidade, tornando mais fácil, mesmo para indivíduos bem informados e cautelosos, “passar pela costa” com base no hábito e na experiência.

O risco representado pelo comportamento habitual é o motivo pelo qual a sinalização rodoviária oficial britânica inclui um retângulo vermelho brilhante contendo as palavras NOVO LAYOUT DE ESTRADA A SEGUIR que é usado quando um trecho movimentado da estrada é reorganizado. O sinal não existe para proteger os veteranos dos novos usuários nervosos da estrada, que podem achar complicado um grande cruzamento ou rotatória. Está lá para proteger os novos usuários, que não têm escolha a não ser trabalhar com cautela desde os primeiros princípios e, portanto, provavelmente seguem as regras de trânsito muito bem, dos veteranos que pensam que “sabem” como o tráfego se comportará naquele local e portanto, navegue descuidadamente, com base em suposições incorretas e comportamento “aprendido, mas agora impróprio”.

Até onde os bandidos chegaram?

Como já foi dito, alguns dos próprios sistemas internos do Reddit foram acessados ​​pelos atacantes.

Além dos “documentos” e “códigos” aparentemente inofensivos listados acima, o Reddit admitiu que informações sobre funcionários e “contatos” anteriores e atuais (estamos assumindo que isso inclui, mas não está limitado a, contratados e outros funcionários não permanentes) foi roubado, juntamente com informações sobre clientes de publicidade.

O Reddit não declarou publicamente que tipo de campos de dados foram incluídos nas informações roubadas, apenas que a violação foi “limitada”.

Mas a palavra limitado pode ser um bom sinal (por exemplo, nome e endereço de e-mail e nenhum outro dado), mas pode facilmente ser uma coisa ruim (por exemplo, “apenas” dois itens de dados: seu número de seguro social e uma varredura de sua carteira de motorista).

Usuários inscritos do serviço Reddit, ao que parece – Redditores, como eles são conhecidos - pode se retirar do Alerta Azul, com o Reddit dizendo que sua investigação até agora não mostra nenhuma indicação de que o que chama de "dados não públicos" (em outras palavras, coisas que você não postou para o mundo veja de qualquer maneira) foi acessado pelos cibercriminosos.

E, como mencionado anteriormente, os próprios sistemas Reddit – os sistemas operacionais, códigos e redes que executam os serviços Reddit com os quais você interage, seja como usuário ou visitante – não parecem ter sido violados.

A partir disso, inferimos que é improvável que os criminosos tenham roubado dados como registros de login, logs do sistema, informações de localização ou hashes de senha.

A empresa afirmou ainda, na sua notificação, que continua a investigar este incidente (ocorrido no domingo 2023/02/05).

Dada a sua resposta razoavelmente rápida até agora, estamos supondo que o Reddit fará o acompanhamento no devido tempo para dizer se encontrou mais evidências de compromisso.

O que fazer?

Para ser honesto, a menos que você seja um funcionário ou anunciante do Reddit, não parece que haja muito que você possa ou precise fazer agora.

(Presumimos, se você trabalha ou anuncia no Reddit, que a empresa já o terá contatado pessoalmente se seus dados estiverem entre as informações "limitadas" roubadas, o que consideraríamos uma resposta de curto prazo melhor do que dizer ao mundo inteiro primeiro.)

O próprio Reddit fez três sugestões, a saber:

  • Proteja-se contra phishing usando um gerenciador de senhas. Isso torna mais difícil colocar a senha certa no site errado, porque o gerenciador de senhas não é enganado pela aparência de um site, mas trabalha sem emoção com o nome exato da página da Web que vê na barra de endereço . Ironicamente, esse parece ser um conselho que o próprio Reddit não seguiu, já que os invasores usaram um site semelhante plausível para roubar credenciais de login, que um gerenciador de senhas presumivelmente teria rejeitado como desconhecido.
  • Ative o 2FA, se puder. Isso significa que você precisa de um código único que muda a cada login, o que torna uma senha roubada inútil por conta própria. Concordamos que esta é uma ótima ideia, mas observe que o próprio mecanismo do Reddit para 2FA (autenticação de dois fatores), baseado em um código de seis dígitos que muda regularmente gerado por um aplicativo em seu telefone, aparentemente não ajudou aqui, porque os invasores falsificaram uma senha atual e um código 2FA válido agora.
  • Altere suas senhas a cada dois meses. Nós discordamos desse conselho, assim como o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST). Mudar por mudar raramente é uma boa ideia, porque tende a reforçar o comportamento habitual que, nas palavras do amigo e colega da Naked Security, Chester Wisniewski, “deixa todo mundo no hábito de um mau hábito".

QUEBRANDO OS MITOS DAS SENHAS

Embora tenhamos gravado este podcast há mais de uma década, os conselhos que ele contém ainda são relevantes e ponderados hoje. Ainda não atingimos o futuro sem senha, portanto, os conselhos de segurança cibernética relacionados a senhas serão valiosos por um bom tempo ainda. Ouça aqui, ou clique para transcrição completa.

Em resumo: continuamos a recomendar gerenciadores de senhas, especialmente se você tende a adquirir o hábito de escolher senhas óbvias, idênticas ou até semelhantes para vários sites sem uma.

Também recomendamos os gerenciadores de senhas como uma ferramenta útil para evitar sites impostores que parecem visualmente perfeitos para você, mas que não correspondem às expectativas simples e sem emoção de seu gerenciador de senhas.

E aconselhamos que você ative o 2FA sempre que puder, embora saibamos que é um pouco complicado.

No entanto, lembramos que os códigos 2FA (como aqueles SMS únicos de 6 dígitos ou mensagens baseadas em aplicativos) ainda podem ser phishing, como aconteceu aqui no Reddit, portanto, eles não são uma cura para todos os cuidados.

BUT não concordamos em forçar-se regularmente a alterar todas as suas senhas em uma base algorítmica.

Muito melhor mudar suas senhas imediatamente sempre que você realmente achar que vale a pena fazê-lo, do que confiar em “eu vou mudar em breve de qualquer maneira, então vou esperar até que o processo me diga para fazer isso”.

(Não estamos dizendo que você não deve alterar suas senhas o tempo todo se isso o deixar feliz, mas fazê-lo como o que você pode chamar de “requisito processual” lhe dará uma falsa sensação de segurança e usará o tempo que você poderia gastar em outras tarefas que melhoram diretamente sua segurança online.)

Como dissemos antes, podemos estar caminhando para um futuro sem senha, mas suspeitamos que todos estaremos fazendo malabarismos com senhas para pelo menos alguns serviços online importantes por muitos anos ainda.

Carimbo de hora:

Mais de Segurança nua