Uma Violação de Dados na Reddit Foi Exposta. O que os Usuários do Reddit Precisam Fazer Agora?

Reddit Data Breach

O Reddit foi classificado recentemente como o sexto site mais popular do mundo de acordo com a Alexa. Ele tem mais de 1,5 bilhão de visitas mensais, o que mostra que, para muitas pessoas, é o lugar perfeito para qualquer coisa, desde discutir política até compartilhar memes. Ontem, Chris Slowe, Chief Technical Officer desse agregador de notícias, anunciou que o Reddit sofreu recentemente uma violação de dados.

Em 14 de junho, os hackers invadiram as contas de alguns funcionários nos provedores de hospedagem do código-fonte e nuvem do Reddit. Felizmente, as contas comprometidas aparentemente tinham acesso somente a leitura. Slowe apontou que, embora os criminosos tenham tido acesso a alguns dados de backup, logs e código-fonte, eles não puderam modificar nada. No entanto, eles roubaram algumas informações.

Mais especificamente, eles roubaram os resumos de e-mails de junho, o que não é tão assustador e um banco de dados que contém todos os dados agregados pelo Reddit durante os primeiros dois anos da existência do site, o que é bastante assustador. Os dados incluem nomes de usuários, senhas salted e com hash, postagens públicas e mensagens privadas de todos os usuários ativos entre o lançamento do Reddit em junho de 2005 e maio de 2007.

Os hackers permaneceram lá por quatro dias inteiros até 18 de junho, quando Chris Slowe e sua equipe perceberam que estavam sendo atacados e, então, protegeram o sistema.

O Reddit e (a maioria) dos seus usuários tiveram sorte

Isto servirá de pouco consolo para as pessoas que eram redditors ativos em 2007, mas a notícia é, em alguns aspectos, boa. De fato, os hackers fugiram com alguns dados confidenciais. O fato de colocarem as mãos em mensagens privadas, em particular, é uma enorme invasão de privacidade.

Não devemos esquecer, no entanto, que a base de usuários do Reddit foi um pouco menor em 2007. Tenha em mente que isso era antes do que os redditors experientes chamam de "a migração do Digg" - uma onda de usuários se afastando do Digg e se inscrevendo no Reddit em 2010. Se os hackers tivessem roubado um banco de dados mais novo, o impacto teria sido muito mais devastador.

É realmente surpreendente que eles não tenham causado maiores danos. Os detalhes ainda são escassos, mas o próprio CTO do Reddit descreveu o ataque como "sério" e, a partir dos fatos que ele nos deu, podemos concluir que os hackers eram nada menos que determinados e sofisticados.

Claramente, eles de alguma forma conseguiram roubar as credenciais de login de alguns funcionários do Reddit, mas isso por si só não era suficiente. As contas foram protegidas com a autenticação de dois fatores (2FA), mas os invasores conseguiram contorná-la.

Esse não foi um ataque nunca visto antes. O provedor de hospedagem do sistema 2FA do Reddit usado foi baseado nos códigos enviados via SMS. Durante anos, os especialistas em segurança têm argumentado que as mensagens de texto não são seguras o suficiente para fornecer o segundo fator em um sistema 2FA, e o fato dos códigos terem sido interceptados, neste caso em particular, mostra que eles não estão blefando. No entanto, é claro que os atacantes não eram script kiddies (pessoas que usam scripts de computador ou código existente para invadir computadores, sem dominar a técnica para escrever os seus próprios).

O que os usuários do Reddit devem ter em mente?

A postagem de Chris Slowe afirma que as senhas roubadas foram salted e hashed, mas não revela o algoritmo usado, por isso é difícil dizer se os hackers têm algo de valor nesse aspecto. Os dados têm onze anos, portanto, uma grande parte das senhas é provavelmente irrelevante, mas, apesar disso, se você for afetado, o Reddit irá forçar você a alterar a sua senha, apenas por segurança. Naturalmente, se você a tiver reutilizado em outros sites, você deve alterá-la lá também.

Os endereços de e-mail dão aos hackers a chance de embarcar em algumas expedições de spear-phishing (a prática fraudulenta de enviar emails ostensivamente de um remetente conhecido ou confiável, a fim de induzir indivíduos visados a revelar informações confidenciais) altamente direcionadas. Portanto, você deve ficar atento e, se ainda não habilitou o 2FA no Reddit, faça-o o mais rápido possível. Você também deve tomar isso como uma lição e aprender que uma mensagem de texto não é segura o suficiente para atuar como o segundo fator em um sistema 2FA. Se você tiver outras opções, escolha uma delas.

March 7, 2019
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.