Reddit的黑客反应令人担忧
戴夫李
北美科技记者
2018年8月2日
分享
图片copyrightGETTY IMAGES
图片标题
Reddit的联合创始人史蒂夫霍夫曼表示,匿名是该网站的核心原则
社交媒体网站Reddit遭遇数据泄露,但拒绝透露其规模。
该网站称,它在6月份发现,黑客入侵了几个员工的帐户,以获取对数据库和日志的访问权限。
他们能够获得用户名和相应的电子邮件地址 - 这些信息可以将网站上的活动与真实身份相关联。
黑客还能够从2007年的单独数据库访问加密密码。
Reddit表示,它将通知那些受历史数据丢失影响的人,但不会与那些可能遭受更大规模破坏影响的人取得联系 - 这一决定困扰着名的独立安全研究人员。
“这是个人可识别的数据,这些数据已经暴露在明确的数据泄露中,为什么你不会通知人们?”知名安全研究员Troy Hunt说,他是影响消费者的数据泄露专家。
“在它被映射到用户名的情况下,这也暴露了经常是故意匿名帐户背后的身份。人们应该了解这一点并单独联系。”
‘用户不应该责怪’
相反,Reddit建议用户应该搜索他们自己的收件箱,看看他们是否在今年6月3日至17日之间收到了公司的“电子邮件摘要” - 黑客能够获取用户活动的详细日志的时间段。身份。
“如果您的电子邮件地址受到影响,请考虑您的Reddit帐户上是否有任何您不希望与该地址相关联的内容,”Reddit的首席技术官Christopher Slowe写道。
来自萨里大学的艾伦伍德沃德教授表示,Reddit应该采取更多措施来保护其用户。
伍德沃德教授说:“他们将责任放在用户身上以便考虑他们是否有任何他们不希望与地址挂钩的数据的概念实际上并未实现。”
“用户不应该受到指责。”
Reddit表示,黑客通过违反其保护员工证书的措施,能够获取公司的信息。它使用基于文本消息的双因素身份验证系统对访问进行身份验证。换句话说,当员工登录时,他们通过输入通过短信发送给他们的代码来确认他们的身份。
然而,黑客能够拦截这些短信。
“我们了解到,基于SMS的身份验证并不像我们希望的那样安全,”Slowe先生写道。他说公司已采取措施使其系统更加安全。
‘更真实,更真实’
Reddit说它在6月19日发现黑客已经获得了两个数据集。
第一个与旧用户数据相关 - 从2007年5月开始 - 包含用户名,电子邮件地址和加密密码。周三,Reddit开始通知可能包含在此数据集中的用户。
但这是违规行为的第二部分,可能会影响更多的人,并可能对那些使用化名Reddit的人造成严重后果。
黑客能够访问与该网站的电子邮件摘要功能相关的日志,该服务每天发送一封电子邮件,其中包含用户所遵循的部分的最新更新,称为subreddits。
这些日志包含15天内发送的每封电子邮件摘要。至关重要的是,日志包含一个人的用户名和相关的电子邮件地址 - 为黑客提供一个数据库,从中可以发现一个人的真实身份。这些用户未被公司直接通知。
使用假名被吹捧为Reddit最大的优势之一。 Reddit的联合创始人史蒂夫赫夫曼在谈到大西洋时说:“当人们脱离现实世界的身份时,他们可能更真实,更真实。”
并非所有用户都会收到电子邮件摘要,但对于在美国注册的用户,默认情况下会启用该功能。根据Reddit自己的广告指标,美国每天有2000万人访问Reddit。其全球用户群为330米 - 与Twitter类似。
当英国广播公司询问时,Reddit的发言人拒绝分享有多少用户可能受到影响的任何估计。此人也不会提供有关在违规时收到电子邮件摘要的用户数量的数字。
该公司也未回复后续问题,要求提供有关如何直接告知用户风险的详细信息。