你是否被Reddit锁定?您现在可以重置密码
如果你运行一个拥有数亿用户的在线平台,你就永远不能高枕无忧。你需要经常保持警惕,如果你看到一些你不喜欢的东西,你需要迅速采取行动。然后,当问题消失时,你必须确保每个人都知道发生了什么以及为什么。昨天,Reddit的安全人员被安排到他们必须证明他们可以做到这一切的位置。他们是怎么做的?
Redditors的“大群”被锁定了账户
周三,一些Reddit用户发现自己已经退出帐户,当他们尝试重新登录时,系统将无法接受正确的用户名和密码。所有这一切的原因在当时并不为人所知,我们只能想象人们对此感觉不太好。昨天, r / help subreddit的主持人Sporkicide最终解释了发生的事情。
显然,新闻聚合器的安全团队发现了一些关于“一大群账户”的“异常活动”。受到影响的账户,Sporkicide的帖子读后,表明可能表示未经授权访问的行为。为了阻止攻击,Reddit锁定了帐户,昨天,它允许其所有者重置密码。这似乎是正确的做法,但必须说,并非所有关于Reddit的反应都是完美的。
一方面,Reddit没有发布正式声明,而是通过一个假名的人写的帖子向公众通报了这一事件。更有甚者,一些用户似乎不同意上述帖子中的所有内容。
Reddit指责凭据填充,但用户并不相信
根据Sporkicide的帖子,骗子通过输入正确的用户名和密码获得了对帐户的未授权访问。然而,显然,他们没有通过打破Reddit的防御来获得它们。 Sporkicide说,登录凭证是从另一个服务中偷来的,而且那些被破坏的密码的重复使用让骗子们进入了。换句话说,Reddit认为它已经成为了凭证填充攻击的目标 ,并且帮助用户更好地保护自己,它敦促他们为所有帐户使用唯一密码。
但是,只要向下滚动查看回复,就会看到很多受影响的人声称他们已经这样做了一段时间。他们说,他们的Reddit帐户受到了一个独一无二的密码的保护,这个密码不会被其他任何地方窃取。没有办法知道所有这些人是否完全诚实,但如果他们是,Reddit有一些解释要做。
所有这一切都发生在Reddit遭受全面数据泄露后不到一年的时间。 8月份,自称为“互联网头版”的消息宣布 ,在拦截了一些2FA代码之后,黑客能够妥协一些Reddit员工的账户,并最终窃取属于截至2007年5月所有活跃的所有红人的个人信息。
去年的黑客攻击事件以及Sporkicide宣布的当前不满的回复并没有让Reddit的安全人员处于最佳状态,必须说他们拒绝透露受影响人数的确切数量并不会给他们带来任何好处。在两种情况下。希望他们能够避免任何进一步的尴尬。