Reddit Data Breach暴露。 Reddit用戶現在需要做什麼？

據Alexa稱， Reddit最近是全球第六大最受歡迎的網站。它每月訪問量超過15億，這表明對於許多人來說，它是討論政治和分享模因的最佳場所。昨天，新聞聚合器首席技術官Chris Slowe 宣布 Reddit最近遭遇數據洩露。

6月14日，黑客在Reddit的雲端和源代碼託管服務提供商處闖入了一些員工賬戶。值得慶幸的是，受感染的帳戶顯然具有隻讀訪問權限。 Slowe指出，雖然騙子們必須查看一些備份數據，日誌和源代碼，但他們無法修改任何內容。但他們確實竊取了一些信息。

更具體地說，他們竊取了6月份的電子郵件摘要，這些摘要並不那麼可怕，而且數據庫中包含了Reddit在網站存在的前兩年聚集的所有數據，這非常可怕。這些數據包括2005年6月和2007年5月Reddit發布之間所有活躍用戶的用戶名，鹽漬和散列密碼，公開帖子和私人消息。

黑客們在6月18日之前待了整整四天，當時Chris Slowe和他的團隊意識到他們正在受到攻擊並獲得系統安全。

Reddit和（大部分）用戶都很幸運

這對2007年活躍的redditors的人來說幾乎沒什麼安慰，但這個消息在某些方面是好的。實際上，黑客已經使用了一些敏感數據。特別是他們掌握私信的事實是對隱私的巨大侵犯。

但是，我們不能忘記Reddit的用戶群在2007年相當小一些。請記住，這是在經驗豐富的redditors稱之為“Digg遷移”之前 - 一波用戶離開Digg並訂閱Reddit如果黑客竊取了一個新的數據庫，那麼影響就會更加嚴重。

他們沒有做任何更多的傷害實際上是非常令人驚訝的。詳細信息仍然很少，但Reddit的首席技術官本人將此次攻擊描述為“嚴重”，而且根據他給我們的事實，我們可以得出結論，黑客如果沒有堅定和復雜，就什麼都不是。

顯然，他們設法竊取了一些Reddit員工的登錄憑據，但僅憑這一點還不夠。帳戶受雙因素身份驗證（2FA）保護，但攻擊者設法繞過它。

這不是一場前所未有的攻擊。 2FA系統Reddit的託管服務提供商使用的是基於通過短信發送的代碼。多年來，安全專家一直認為短信不足以提供2FA系統中的第二個因素，而且在這個特殊情況下截獲的代碼表明他們沒有吹熱風。然而，很明顯攻擊者不是腳本小子。

Reddit用戶應該記住什麼？

Chris Slowe的帖子指出被竊取的密碼被鹽漬和散列，但它沒有透露所使用的算法，所以很難說黑客是否在這方面有任何有價值的東西。這些數據已有十一年的歷史，因此很大一部分密碼可能無關緊要，但儘管如此，如果您受到影響，Reddit會強制您更改密碼以防萬一. 當然，如果你在其他網站上重複使用它，你也應該在那裡更改它。

電子郵件地址確實讓黑客有機會開始一些高度針對性的魚叉式釣魚探險，所以你必須保持眼睛去皮，如果你沒有在Reddit上啟用2FA，請盡快完成。您還應該將此作為一個教訓，並了解文本消息不夠安全，無法充當2FA系統中的第二個因素。如果您有其他選擇，請選擇其中一個。