你是否被Reddit鎖定?您現在可以重置密碼

Reddit Account Lockout

如果你運行一個擁有數億用戶的在線平台,你就永遠不能高枕無憂。你需要經常保持警惕,如果你看到一些你不喜歡的東西,你需要迅速採取行動。然後,當問題消失時,你必須確保每個人都知道發生了什麼以及為什麼。昨天,Reddit的安全人員被安排到他們必須證明他們可以做到這一切的位置。他們是怎麼做的?

Redditors的“大群”被鎖定了賬戶

週三,一些Reddit用戶發現自己已經退出帳戶,當他們嘗試重新登錄時,系統將無法接受正確的用戶名和密碼。所有這一切的原因在當時並不為人所知,我們只能想像人們對此感覺不太好。昨天, r / help subreddit的主持人Sporkicide最終解釋了發生的事情。

顯然,新聞聚合器的安全團隊發現了一些關於“一大群賬戶”的“異常活動”。受到影響的賬戶,Sporkicide的帖子讀後,表明可能表示未經授權訪問的行為。為了阻止攻擊,Reddit鎖定了帳戶,昨天,它允許其所有者重置密碼。這似乎是正確的做法,但必須說,並非所有關於Reddit的反應都是完美的。

一方面,Reddit沒有發布正式聲明,而是通過一個假名的人寫的帖子向公眾通報了這一事件。更有甚者,一些用戶似乎不同意上述帖子中的所有內容。

Reddit指責憑據填充,但用戶並不相信

根據Sporkicide的帖子,騙子通過輸入正確的用戶名和密碼獲得了對帳戶的未授權訪問。然而,顯然,他們沒有通過打破Reddit的防禦來獲得它們。 Sporkicide說,登錄憑證是從另一個服務中偷來的,而且那些被破壞的密碼的重複使用讓騙子們進入了。換句話說,Reddit認為它已經成為了憑證填充攻擊的目標 ,並且幫助用戶更好地保護自己,它敦促他們為所有帳戶使用唯一密碼。

但是,只要向下滾動查看回复,就會看到很多受影響的人聲稱他們已經這樣做了一段時間。他們說,他們的Reddit帳戶受到了一個獨一無二的密碼的保護,這個密碼不會被其他任何地方竊取。沒有辦法知道所有這些人是否完全誠實,但如果他們是,Reddit有一些解釋要做。

所有這一切都發生在Reddit遭受全面數據洩露後不到一年的時間。 8月份,自稱為“互聯網頭版”的消息宣布 ,在攔截了一些2FA代碼之後,黑客能夠妥協一些Reddit員工的賬戶,並最終竊取屬於截至2007年5月所有活躍的所有紅人的個人信息。

去年的黑客攻擊事件以及Sporkicide宣布的當前不滿的回复並沒有讓Reddit的安全人員處於最佳狀態,必須說他們拒絕透露受影響人數的確切數量並不會給他們帶來任何好處。在兩種情況下。希望他們能夠避免任何進一步的尷尬。

January 28, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
6 + 7是什麼?