Компрометация учетных записей соотрудников Reddit привела к утечке БД

Как сообщает opennet.ru дискуссионная площадка Reddit уведомила пользователей об инциденте, в результате которого в руки злоумышленников попала архивная база данных с хэшами паролей (с солью), адресами электронной почты и личными сообщениями пользователей сервиса.

Утечка произошла в середине июня в результате компрометации учетных записей нескольких сотрудников Reddit, воспользовавшись которыми атакующие смогли загрузить архивную резервную копию, включающую данные с момента основания сайта в 2005 году до мая 2007 года. Кроме архивных данных атакующие смогли загрузить отчет о почтовых пересылках с 3 по 17 июня 2018 года, включающий email-адреса, связанные с ними имена пользователей и подписки на обсуждения. Также упоминается получение атакующими исходных текстов разработок компании, файлов для внутреннего использования, файлов конфигурации и рабочих проектов.

Примечательно, что доступ был получен несмотря на применение сотрудниками двухфакторной аутентификации с использованием SMS, что показывает низкую эффективность применения данной системы для защиты от профессиональных атак на крупные сервисы. Для безопасной двухфакторной аутентификации рекомендуется использовать предварительно загруженные или созданные на устройстве пользователя одноразовые пароли или генерируемые при помощи криптоключа токены.

Применять отправляемые сервером SMS с кодами подтверждения не рекомендуется из-за слабой защищенности протокола SS7 и существования методов перехвата SMS через их перенаправление на другой номер, а также возможности захвата номера жертвы, используя методы социальной инжинерии (например, получение у оператора новой SIM-карты без должного подтверждения личности). В случае с Reddit, утверждается, что атакующие смогли организовать перехват SMS некоторых сотрудников.

Пользователям, зарегистрировавшимися в сервисе до мая 2007 года рекомендовано сменить пароль и убедиться, что один и тот же пароль не используется на разных сайтах. Несмотря на то, что признаков получения полноценного доступа на серверы Reddit не зафиксировано, инициирован процесс смены всех ключей аутентификации и доступа к API, а также расширены логи аудита и задействованы дополнительные системы мониторинга. Вместо двухфакторной аутентификации на основе SMS задействована система с подтверждением входа на базе криптографических токенов.