人気のソーシャル メディア サイトである Reddit – 「広告付きのオレンジ色の Usenet」とは、不謹慎にも説明されているように聞こえますが、最新の有名な Web プロパティとして、 データ侵害 独自のソースコードが盗まれました。
最近数週間で、 のLastPass & GitHubの 同様の経験を自白しており、サイバー犯罪者は明らかにほぼ同じ方法で侵入および侵入します。個々のスタッフメンバーのライブアクセスコードまたはパスワードを見つけ出し、その個人の企業アイデンティティに隠れて忍び込みます.
Reddit自身の言葉で:
Reddit システムは、巧妙で標的を絞ったフィッシング攻撃の結果、ハッキングされました。 彼らは、いくつかの内部文書、コード、およびいくつかの内部ビジネス システムにアクセスできました。
ここで「洗練された」という形容詞がどれほど適切かはよくわかりません。特に、Reddit がすぐに次のように述べているためです。
ほとんどのフィッシング キャンペーンと同様に、攻撃者は、資格情報と第 XNUMX 要素トークンを盗もうとして、当社のイントラネット ゲートウェイの動作を複製した Web サイトに従業員を誘導する、もっともらしく聞こえるプロンプトを送信しました。
XNUMX 人の従業員の資格情報の取得に成功した後、攻撃者は、いくつかの内部ドキュメント、コード、およびいくつかの内部ダッシュボードとビジネス システムへのアクセスを取得しました。 主要な本番システム (Reddit を実行し、データの大部分を保存するスタックの一部) の侵害の兆候は見られません。
つまり、この攻撃は巧妙だったからではなく、ほぼ確実に成功しました。 そうじゃなかったから.
誰かがおそらく急いで国境だと思っていた場所に到着し、パスポートを公式の国境警備隊員ではなく旅行仲間に渡し、偽者が航海している間、身分証明書なしでどこにもいない土地に閉じ込められていることに気づきました彼らの名前の国境検問所。
この種の ID ハイジャック攻撃で最も重要な要素は洗練されたものではありませんが、Reddit が上で正しく指摘したように、 もっともらしさ、よく知っていて用心深い人でも、習慣と経験に基づいて「疾走」することが容易になります。
習慣的な行動によってもたらされるリスクは、公式の英国の道路標識に、交通量の多い道路が再編成されるときに使用される NEW ROAD LAYOUT AHEAD という言葉を含む真っ赤な長方形が含まれている理由です。 この標識は、大きなジャンクションやラウンドアバウトを複雑に感じるかもしれない神経質な新しい道路利用者から、ベテランを守るためのものではありません。 これは、最初の原則から慎重に作業する以外に選択の余地がなく、したがって道路規則に問題なく従う可能性が高い新しいユーザーを、その場所で交通がどのように動作するかを「知っている」と考えている古いユーザーから保護するためにあります。したがって、誤った仮定と「学習したが今では不適切な」行動に基づいて、不注意に航海します。
詐欺師はどこまで行きましたか?
すでに述べたように、攻撃者は Reddit の内部システムの一部にアクセスしました。
上記のほとんど無害に聞こえる「ドキュメント」と「コード」に加えて、Reddit は過去および現在の従業員と「連絡先」に関する情報を認めています非常勤スタッフ)が、広告顧客に関する情報とともに盗まれました。
Reddit は、盗まれた情報にどのような種類のデータ フィールドが含まれていたかを公表していませんが、侵害が「限定的」であったとだけ述べています。
しかし、言葉 限られました 良い兆候かもしれません (例: 名前と電子メール アドレス、その他のデータはありません)。
Reddit サービスにサインアップしたユーザーは、どうやら – Redditors、彼らが知られているように、ブルーアラートから手を引くことができます.Redditは、その調査はこれまでのところ、それが「非公開データ」と呼んでいるもの(つまり、あなたが世界に投稿していないもの)であるという兆候を示していないと述べていますとにかく参照) は、サイバー犯罪者によってアクセスされました。
また、前述のように、Reddit システム自体 (ユーザーまたは訪問者として対話する Reddit サービスを実行するオペレーティング システム、コード、およびネットワーク) は侵害されていないようです。
このことから、詐欺師がログイン レコード、システム ログ、位置情報、パスワード ハッシュなどのデータを盗んだ可能性は低いと推測されます。
同社はまた、通知の中で、この事件 (2023 年 02 月 05 日日曜日に発生) についてはまだ調査中であると述べています。
これまでのところかなり迅速な対応を考えると、Reddit は、侵害のさらなる証拠が見つかったかどうかを明らかにするために、やがてフォローアップすると推測しています.
何をするか?
正直なところ、あなたが Reddit のスタッフや広告主でない限り、今できることやする必要があることはあまりないようです。
(あなたが Reddit で働いている、または Reddit で広告を出している場合、あなたのデータが盗まれた「限られた」情報に含まれていた場合、会社はすでにあなたに個人的に連絡を取っていると想定しています。世界初。)
Reddit 自体が XNUMX つの提案を行っています。
- パスワード マネージャーを使用してフィッシングから保護します。 これにより、正しいパスワードを間違ったサイトに入力することが難しくなります。これは、パスワード マネージャーがサイトのルック アンド フィールに惑わされず、アドレス バーに表示される Web ページの正確な名前で冷静に動作するためです。 . 皮肉なことに、これは Reddit 自体が従わなかったアドバイスのようです。攻撃者がログイン資格情報を盗むためにもっともらしい類似サイトを使用したことを考えると、パスワード マネージャーはおそらく不明として拒否したでしょう.
- 可能であれば、2FA をオンにします。 これは、ログインのたびに変更されるワンタイム コードが必要であることを意味します。これにより、盗まれたパスワードはそれ自体では役に立たなくなります。 これが素晴らしいアイデアであることには同意しますが、携帯電話のアプリによって生成される定期的に変更される 2 桁のコードに基づく Reddit 独自の 2FA (XNUMX 要素認証) メカニズムは、明らかにここでは役に立たなかったことに注意してください。攻撃者は、現在のパスワードと現在有効な XNUMXFA コードの両方をフィッシングしました。
- パスワードは XNUMX か月ごとに変更してください。 米国国立標準技術研究所と同様に、私たちはこのアドバイスに同意しません (NIST)。 Naked Security の友人であり同僚である Chester Wisniewski の言葉によると、誰もが悪い習慣を身につける"
パスワード神話の打破
このポッドキャストを録音したのは XNUMX 年以上前ですが、そこに含まれるアドバイスは今日でも適切で思慮深いものです。 パスワードレスの未来にはまだ到達していないため、パスワードに関連するサイバーセキュリティのアドバイスは、まだしばらくの間価値があります. ここで聞くか、クリックして 完全な転写物.
要するに: 引き続きパスワード マネージャーをお勧めします、特に、複数のサイトに対して明白な同一または類似のパスワードを選択する習慣に陥りがちな場合は特に注意してください。
また、パスワード マネージャーは、視覚的に完璧に見えても、パスワード マネージャーの単純で感情のない期待と一致しない偽サイトにあなたを引き付けるための便利なツールとしてもお勧めします.
可能な限り 2FA を有効にすることをお勧めします、少し面倒だとわかっていても。
ただし、2FA コード (6 回限りの XNUMX 桁の SMS やアプリベースのメッセージなど) は、ここ Reddit で発生したようにフィッシングの可能性があるため、万能薬ではありません。
だけど すべてのパスワードを定期的に変更するよう強制することに同意しません アルゴリズムベースで。
「いずれにせよ近いうちにパスワードを変更するので、プロセスで変更するように指示されるまで待ちます」に頼るよりも、変更する価値があると本当に思ったときにすぐにパスワードを変更する方がはるかに優れています。
(それで満足するのであれば、常にパスワードを変更してはいけないと言っているわけではありませんが、いわゆる「手続き上の要件」としてパスワードを変更すると、誤った安心感が生まれ、変更できる時間を無駄にしてしまいます。オンラインの安全性を直接向上させる他のタスクに費やすことはできません)。
前に述べたように、私たちはパスワードレスの未来に向かっているかもしれませんが、少なくともいくつかの重要なオンライン サービスのパスワードを何年にもわたって使いこなしていると思われます.
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2023/02/10/reddit-admits-it-was-hacked-and-data-stolen-says-dont-panic/
