Reddit przekazał informację, że w czerwcu serwis został zhakowany, a intruz uzyskał dostęp do kopii zapasowych witryny i mógł stamtąd pobrać dane użytkowników. Jedno z najważniejszych pytań, jakie można sobie teraz zadać, to: „Czy jako użytkownik Reddita mam się czym martwić?”.
Najprawdopodobniej większość z nas nie ma się czym przejmować. Haker mógł przeglądać kopie zapasowe serwisu starsze od tych wykonanych w maju 2007 roku. Jeśli założyliśmy konto na Redditcie później, nie grozi nam żadne niebezpieczeństwo utraty danych.
Dane użytkowników z tych kopii zapasowych obejmują nazwy użytkowników, ich adresy e-mail, hasła i wiadomości prywatne. Reddit potwierdził, że wysyła maile do wszystkich osób, które dotyczy problem. Zawiera w nich prośbę o zresetowanie hasła. Warto więc przejrzeć swoją skrzynkę e-mail, zwłaszcza, jeśli mamy wrażenie, że jesteśmy na Redditcie od wieków.
Co prawda haker zdołał przejąć także dzienniki wiadomości e-mail z podsumowaniami ich wysyłki na adresy użytkowników, ale nie stanowi to większego zagrożenia. W ten sposób mógł się tylko dowiedzieć, jaki adres mailowy łączy się z konkretną nazwą użytkownika, a baza dzienników, którą mógł wykorzystać, dotyczy dat między 3 czerwca a 17 czerwca 2018 roku.
Jak doszło do ataku?
Według Reddita, włamanie miało miejsce między 14 a 18 czerwca, a wykryto je 19 czerwca. Uważa się, że kilka kont pracowników firmy zostało przejętych po przechwyceniu wiadomości tekstowych wysyłanych za każdym razem, gdy ktoś próbuje zalogować się na swój zaufany profil. SMS z kodem uwierzytelniającym trafił więc nie na telefon pracownika, a został przekierowany do hakera, który dzięki temu mógł wejść na konto administracyjne.
Reddit uściśla, że napastnicy uzyskali dostęp do danych „tylko do odczytu” – nie byli więc w stanie niczego zmienić. Zobowiązał się też do wzmocnienia zabezpieczeń serwisu.
Co zrobić?
Jeśli jesteśmy jednym z użytkowników, których dotyczy atak na Reddita i dostaliśmy maila z prośbą o zresetowanie hasła, wykorzystajmy go. Zastanówmy się oprócz tego, czy używamy identyczne hasło w jakiejkolwiek innej usłudze lub witrynie. Taka praktyka jest dość popularna, ale tym samym zwiększa ryzyko przejęcia innych kont w serwisach, na których najbardziej nam zależy.
Oprócz tego, firma poprosiła użytkowników o używanie silnych haseł i włączenia dwuetapowego logowania, ale już nie przy pomocy dodatkowego hasła SMS, ale przy wykorzystaniu aplikacji uwierzytelniającej.
Jak więc widać, bywa, że nawet logowanie dwuskładnikowe nie zawsze jest absolutnym gwarantem bezpieczeństwa naszych danych. Stosując się jednak do wskazówek bezpieczeństwa, zwykle jesteśmy w stanie uchronić się przed skutkami tego typu ataków. Bo przecież zrezygnować z przeglądania memów na Redditcie się nie da.
źródło: Reddit przez Android Authority
