原标题:Reddit员工帐号遭骇,疑似是基于简讯的双因素验证惹的祸
图片来源:社交新闻网站Reddit本周坦承遭到骇客入侵,骇客取得了几名Reddit员工登入云端及原始码代管服务供应商的凭证,进而存取了该站在2007年的资料库备份。引起关注的是,骇客的主要攻击管道是拦截了员工的简讯,破解了相关登入系统的双因素验证机制。
Reddit说明,骇客是在今年6月14日与18日之间入侵了几名员工登入该站的云端与原始码代管服务供应商的凭证,尽管这些服务的登入都要求双因素验证,但Reddit却发现基于简讯(SMS)的验证机制并不如预期中的安全且主要的攻击是拦截了员工的简讯,因而提醒所有人最好都改采基于认证载具(Token)的双因素验证机制(Two△Factor△Authentication,2FA)。
在这次的资料外泄事件中,骇客存取了Reddit存放备份资料、原始码与其它纪录的系统,但未取得Reddit系统的写入权限。与用户有关的资料之一是该站在2007年的备份资料库,内含自2005年至2007年的所有Reddit用户资料,包括使用者名称、加盬的杂凑密码(Salted△Hashes)、电子邮件位址,以及所张贴的内容。其次则是Reddit在今年6月3日到17日之间寄给用户的内容摘要电子邮件,曝光的则是用户的使用者名称与电子邮件位址。
因此,在2007年之后才成为Reddit会员,而且也未订阅Reddit内容摘要的用户将完全不受此一资料外泄事件的影响。
除了用户的资料外,Reddit的原始码、内部纪录、配置档案与其它的工作文件都遭到骇客存取。Reddit已经锁住并更换所有的机密与API金钥,也已强化登入与监控系统。
目前Reddit已与执法机关合作展开调查,也通知受影响的用户变更密码,由于怀疑基于简讯的双因素验证是造成此一意外的主因,已强制要求员工采用基于Token的双因素验证。
采用密码+简讯的双因素验证因为相对方便,因此成为不少使用者的2FA首选,但骇客却可借由劫持他人SIM卡以拦截通讯内容,继之取得使用者的凭证。美国国家标准技术研究所(NIST)早在2016年发表的《数位身份认证指南》(Digital△Authentication△Guideline)中,就不再建议采用基于简讯或电话语音的双因素验证方式;脸书旗下的Instagram也正在开发非简讯的双因素认证服务;日前美国警方则逮捕了一位通过SIM卡劫持,盗领价值数百万美元加密货币的20岁大学生,再加上Reddit的意外,在在都显示出SIM卡劫持与简讯验证的安全风险已日趋严重。
相关:
连结 Spotify 帐号 Google Clock 用歌声叫你起身 | 香港 UNWIRE.HK 玩生活.乐科技
Google 近年积极推广他们的串流音乐服务,包括 Play Music 和 YouTube Music,日前更新的 Clock 软件,Google 将串流音乐元素加入,用户可以选择喜爱的音乐或播放清单,去叫醒自己起床,不过 Google 并非将自家服务加
实时热点炸了炸了!简直闻所未闻奇葩事,中超新贵豪门河北华夏幸福俱乐部的总经理李君涉嫌殴打俱乐部员工,被打员工报警后被派出所带走调查。要知道,李君担任华夏...日前,据警方消息,河北华夏幸福足球俱乐部总经理李君因
实时热点据外媒最新消息,日前,三名太阳城公司的前员工针对特斯拉发起了诉讼,据称他们发现了太阳城虚报销售数据等各种问题,但是在报告问题之后就遭到了解雇。...特斯拉三位前员工日前将老东家告上法庭,称SolarCity经常
实时热点原标题:只因一杯水美国麦当劳一女顾客遭强壮员工暴打海外网7月27日电 近日,美国一则令人震惊的暴力视频在网络上迅速传播开来。视频中显示,一名...据《每日邮报》7月26日报道,在美国一家麦当劳店内,一女顾客因
LINE即时通讯假官方帐号问题频传,紧急自我保护查证3方法!
近年,LINE上的诈骗手法非常盛行,特别是设立LINE#官方帐号并假冒知名品牌,再以传送相关好康讯息,吸引民众加入好友或点选钓鱼网站连结,借以窃取帐号、照片、聊天讯息、位置等个资。面对这些朋友分享而来的讯息,使