Reddit Data Breach暴露。 Reddit用户现在需要做什么？

据Alexa称， Reddit最近是全球第六大最受欢迎的网站。它每月访问量超过15亿，这表明对于许多人来说，它是讨论政治和分享模因的最佳场所。昨天，新闻聚合器首席技术官Chris Slowe 宣布 Reddit最近遭遇数据泄露。

6月14日，黑客在Reddit的云端和源代码托管服务提供商处闯入了一些员工账户。值得庆幸的是，受感染的帐户显然具有只读访问权限。 Slowe指出，虽然骗子们必须查看一些备份数据，日志和源代码，但他们无法修改任何内容。但他们确实窃取了一些信息。

更具体地说，他们窃取了6月份的电子邮件摘要，这些摘要并不那么可怕，而且数据库中包含了Reddit在网站存在的前两年聚集的所有数据，这非常可怕。这些数据包括2005年6月和2007年5月Reddit发布之间所有活跃用户的用户名，盐渍和散列密码，公开帖子和私人消息。

黑客们在6月18日之前待了整整四天，当时Chris Slowe和他的团队意识到他们正在受到攻击并获得系统安全。

Reddit和（大部分）用户都很幸运

这对2007年活跃的redditors的人来说几乎没什么安慰，但这个消息在某些方面是好的。实际上，黑客已经使用了一些敏感数据。特别是他们掌握私信的事实是对隐私的巨大侵犯。

但是，我们不能忘记Reddit的用户群在2007年相当小一些。请记住，这是在经验丰富的redditors称之为“Digg迁移”之前 - 一波用户离开Digg并订阅Reddit如果黑客窃取了一个新的数据库，那么影响就会更加严重。

他们没有做任何更多的伤害实际上是非常令人惊讶的。详细信息仍然很少，但Reddit的首席技术官本人将此次攻击描述为“严重”，而且根据他给我们的事实，我们可以得出结论，黑客如果没有坚定和复杂，就什么都不是。

显然，他们设法窃取了一些Reddit员工的登录凭据，但仅凭这一点还不够。帐户受双因素身份验证（2FA）保护，但攻击者设法绕过它。

这不是一场前所未有的攻击。 2FA系统Reddit的托管服务提供商使用的是基于通过短信发送的代码。多年来，安全专家一直认为短信不足以提供2FA系统中的第二个因素，而且在这个特殊情况下截获的代码表明他们没有吹热风。然而，很明显攻击者不是脚本小子。

Reddit用户应该记住什么？

Chris Slowe的帖子指出被窃取的密码被盐渍和散列，但它没有透露所使用的算法，所以很难说黑客是否在这方面有任何有价值的东西。这些数据已有十一年的历史，因此很大一部分密码可能无关紧要，但尽管如此，如果您受到影响，Reddit会强制您更改密码以防万一. 当然，如果你在其他网站上重复使用它，你也应该在那里更改它。

电子邮件地址确实让黑客有机会开始一些高度针对性的鱼叉式钓鱼探险，所以你必须保持眼睛去皮，如果你没有在Reddit上启用2FA，请尽快完成。您还应该将此作为一个教训，并了解文本消息不够安全，无法充当2FA系统中的第二个因素。如果您有其他选择，请选择其中一个。