Reddit 成为数据泄露的受害者

Reddit 拥有互联网上最大的用户群之一,拥有超过 3.3 亿用户和 138,000 个较小的社区。 Reddit 自 2005 年诞生以来,发展势头迅猛,仅仅 13 年后,它已不仅仅是人们讨论共同兴趣的地方。

从成立到 2007 年,该网站快速增长,但 Reddit 现在发布了一份声明,解释说 2005 年至 2007 年间的用户详细信息已被泄露。

目录

违规何时发生?

该违规事件被认为发生在 6 月 14 日至 18 日之间,这意味着 Reddit 仅用了不到两个月的时间就向其用户披露了此事。 目前尚不清楚为什么他们花了这么长时间才让用户知道。 这通常是由于受害者在让用户群恐慌之前花时间分析违规的程度。

谁受到影响?

尽管违规听起来非常具有破坏性,但 2005 年至 2007 年间平台上存在的账户是唯一受影响的账户。 虽然该网站可能是美国第五大最受欢迎的网站,但 11 年前并非如此。

在此期间注册的许多用户可能已经在违规期间和现在之间的许多年中删除了他们的帐户或更改了他们的密码。 也许使大部分被盗数据非常过时。

Reddit 是怎样被破坏的?

违规发生是因为在使用 SMS 作为您的第二个身份验证因素时固有的不安全性。 Reddit 员工使用 2FA 和 SMS 作为他们的第二个因素,这些文本被截获,允许黑客或黑客组织访问敏感数据。 Reddit 的首席技术官 Christopher Slowe 说:“我们了解到基于 SMS 的身份验证并不像我们希望的那样安全,”

攻击者仅设法获得对包含备份数据、源代码和其他一些杂项日志的系统的只读访问权限。 这些系统还包含 2005 年至 2007 年 5 月期间的用户数据。密码经过哈希处理和加盐处理,但公共和私人信息、用户名和电子邮件地址都是纯文本格式并包含在违规行为中。

怎样保护我的帐户?

斯洛威说,所有受影响的用户都会收到一封电子邮件,以确保他们有机会更改密码。 当发生这样的违规行为时,最好还是更改密码,以确保安全。

接下来要做的是在您的 Reddit 帐户上实施 2FA,但不要使用 SMS,而是使用身份验证器应用程序。 此功能可以在“首选项”中启用,然后在“密码/电子邮件”选项卡中启用。

SMS 2FA 不安全

这不是短信第一次成为黑客攻击的薄弱环节。 重要的是,如果您将 SMS 用作任何其他帐户的第二个因素,则将其更改为身份验证器应用程序或安全密钥。

常见的身份验证器应用程序可能是 Google Authenticator,可从 Play 商店免费下载。 在安全密钥方面,范围很广,但一个很好的廉价选择是 YubiKey U2F 或 YubiKey 4。谷歌还发布了自己的安全密钥,称为“Titan”,将在未来几个月内发布。