یک هکر اطلاعات کاربران را در ردیت به سرقت برده است

۱۱ مرداد ۱۳۹۷ - 18:00

پست رسمی‌ ارسال شده توسط ردیت نشان می‌دهد که یک مهاجم چندین سیستم در شبکه‌ی این شرکت را مورد حمله قرار داده و داده‌های کاربران را به سرقت برده است. این سرقت شامل نسخه‌ی پشتیبان پایگاه داده‌های سال ۲۰۰۷، کلمات عبور هش شده (Salted Hashed Passwords) و “برخی” آدرس‌های ایمیل فعلی بود. ردیت در حال حاظر با همکاری مجریان قانون این حمله را بررسی می‌کند.

طبق گفته ردیت، نسخه پشتیبان از پایگاه داده‌های نشت شده شامل نام‌های کاربری و رمز عبور هش شده‌ای است که بین زمان راه اندازی سایت در سال ۲۰۰۵ تا ماه مه ۲۰۰۷ مورد استفاده قرار گرفته است و همچنین شامل آدرس‌های ایمیل، محتوای عمومی‌ و پیام‌های خصوصی است. کاربران ردیتی که داده‌هایی در این نسخه پشتیبان دارند، برای تغییر رمز عبور، اطلاع داده خواهند شد. افرادی که پس از مه ۲۰۰۷ حساب کاربری ردیت ایجاد کرده‌اند در این بخش خاص از حمله مشکلی نخواهند داشت.

اگر با اصطلاح “هش” آشنا نیستید، هش کردن، یک رمز عبور را به یک مقدار با طول ثابت تبدیل می‌کند که بدون مقدار زیادی توان محاسباتی، قابل برگشت نیست. “Salt” به معنی استفاده از یک مقدار مخفیانه تصادفی در رمز عبور است تا هکرها نتوانند از حملات لغت‌نامه‌ای استفاده کنند. سرورها یک سالت به صورت تصادفی تولید شده را برای هر رمز عبور ایجاد می‌کنند و با استفاده از رمزنگاری آنها را هش می‌کنند.

ردیت همچنین گفت که مهاجم به ایمیل دایجست از noreply@redditmail.com که بین ۳ ژوئن و ۱۷ ژوئن ۲۰۱۸ ارسال شده دسترسی داشته است. همانطور که در بالا نشان داده شد، دایجست‌ها نام‌های کاربری را به آدرس‌های ایمیل متصل می‌کنند و همچنین زیرشاخه‌های به اشتراک گذاشته شده‌ی ردیت را نیز برجسته می‌کند. کسانی که آدرس ایمیل خود را به حساب ردیت خود پیوند نمی‌دهند و یا گزینه “ایمیل دایجست” را در حساب کاربری خود فعال نکرده ان، تحت تاثیر قرار نمی‌گیرند.

هنوز هم این همه ماجرا نیست. از آنجا که هکر دسترسی به سیستم‌های ذخیره سازی ردیت را داشته، مهاجم منابع کد ، لاگ‌های داخلی، فایل‌های پیکربندی و فایل‌های ورک پلیس را به دست آورده است. از طرفی دیگر پایگاه داده ۲۰۰۷ و ایمیل دایجست گنجینه‌ی اصلی مهاجم بوده است.

چگونه هکر به ردیت نفوذ کرده است؟ از طریق “چند” حساب کارمندان این سایت که به فضای ابری و کدهای منبع ارائه دهنده‌ی هاست ردیت دسترسی داشته‌اند. این حساب‌ها با تأیید دو عامل توسط پیام محافظت شده است که جزو امن‌ترین فرم تایید اعتبار نیست. ردیت به همه‌ی افراد تایید هویت دو طرفه مانند تشخیص چهره، اسکن اثر انگشت و کلیدهای مبتنی بر USB را پیشنهاد می‌کند.

اگر چه این یک حمله جدی بود، مهاجم اجازه دسترسی به نوشتن در سیستم‌های ردیت را نداشته؛ او تنها دسترسی به خواندن بعضی از سیستم‌هایی که داده‌های پشتیبان، کد منبع و سایر لاگ‌های مربوط را در اختیار داشته است. مهاجم قادر به تغییر اطلاعات ردیت نبوده و ما از زمان وقوع این رویداد اقدام به قفل کردن و عوض کردن تمام اسرار تولید و کلیدهای API کرده و نظارت بر سیستم‌های ورود و خروج را افزایش داده‌ایم.

ردیت حمله را در ۱۹ ژوئن کشف کرد که بین ۱۴ ژوئن تا ۱۸ ژوئن رخ داده است. پس از کشف این حمله، ردیت با همکاری ارائه دهنده‌ی خدمات ابری و کد منبع خود در حال یافتن چیزهایی که هکر به آن دسترسی داشته، هستند. این شرکت همچنین گزارش هک را به مجریان قانون اعلام کرد و پیام دادن به حساب‌های کاربری را شروع کرده است. ردیت اقدامات دیگری نیز برای ایمن سازی شبکه خود انجام داد.

ردیت پیشنهاد می‌کند که اگر کاربران رمز عبور خود را برای مدت زمان زیادی در سایت و یا جاهای دیگر استفاده می‌کنند، آن را تغییر دهند. ردیت همچنین استفاده از کلمات عبور قوی و منحصر به فرد و برنامه‌های تأیید هویت را برای استفاده از ویژگی تایید هویت دو عاملی سایت پیشنهاد می‌کند.