Reddit on jakanut yksityiskohtia äskettäin tapahtuneesta hakkeroinnista, joka tapahtui sen alustalla, ja selittää käyttäjille, millaisia tietoja koottiin.
Vuosien varrella olemme nähneet useita verkkosivustoja ja yrityksiä, joilla on ollut sen tiedot vaarantuneet. Kun se tapahtuu, se on pelottava tapahtuma, ja joskus se voi johtaa kriittistä ja yksityistä tietoa olla vuotanut. Redditillä oli viikonloppuna tietoturvahäiriö, ja nyt se jakaa täydelliset tiedot siitä, mitä tapahtui, miten se käsiteltiin ja mitä käyttäjien on tiedettävä.
Hyökkäys
Redditissä julkaistun viestin mukaan alusta hakkeroitiin 5. helmikuuta käyttämällä "kehittynyttä tietojenkalastelukampanjaa". Kampanja oli suunnattu työntekijälle heidän kirjautumistietonsa ohjaten henkilön verkkosivuston taustajärjestelmän klooniin, jossa hyökkääjä onnistui saamaan työntekijän valtakirjat. Tämän avulla hyökkääjä pääsi käsiksi sisäisiin asiakirjoihin, koodiin ja joihinkin muihin tietoihin alustan liiketoimintajärjestelmistä. Ilmeisesti osa näistä tiedoista sisälsi nykyisten ja entisten työntekijöiden yhteystietoja sekä mainostajan tietoja. Onneksi hyökkääjä ei päässyt käsiksi Redditin pääosaan, joka sisältää käyttäjätietoja, kuten tilitietoja ja salasanoja.
Vastaus
Ehkä syy siihen, miksi Reddit pystyi tekemään nopeita päätöksiä tässä tilanteessa, oli se, että kohteena ollut työntekijä ilmoitti tapauksesta ja varoitti alustan turvallisuustiimin. Tämän ansiosta yritys pystyi toimimaan nopeasti ja poistamaan hyökkääjän pääsyn järjestelmään. Lisäksi yritys pystyi selvittämään tilannetta paremmin samankaltaisia phishing-hyökkäyksiä, joita verkkosivustolla käynnistettiin. Toistaiseksi tämä on vain pieni osa tapahtumista, mutta yhtiö on vannonut jatkavansa sitä tutkia tilannetta ja ymmärtää sitä paremmin, jotta se ei toistu tulevaisuutta. Tämä on myös opettava hetki sen työntekijöille, ja siitä tulee mahdollisuus parantaa turvallisuuttaan jatkossa.
Käyttäjä
Mitä Reddit-käyttäjien pitäisi tehdä, ei oikeastaan mitään, koska käyttäjätiedot eivät vaarantuneet. Mutta Reddit ehdotti, että voisi olla hyvä aika ottaa käyttöön kaksivaiheinen todennus (2FA) tileillä toisen puolustuslinjan perustamiseksi siltä varalta, että järjestelmään tulee joskus rikos tai ongelma tili. Alusta jakoi myös toisen hyvän käytännön, jossa suositeltiin käyttäjiä käyttämään yksilöllisiä salasanoja ja päivittämään salasanansa muutaman kuukauden välein. Lisäksi yhtiö ehdottaa a salasanan hallinta koska se tarjoaa erittäin monimutkaisia salasanaehdotuksia ja pitää ne turvassa.
Jos et ole koskaan käyttänyt tällaisia ohjelmistoja ja olet kiinnostunut niistä, voit aina tutustua Karthik Iyerin ohjelmistoihin salasananhallinnan tutkiminen, sukeltaa joihinkin suosituimpiin vaihtoehtoihin. Lisäksi useimmat selaimissa on salasananhallintaohjelmat, ja hän pystyi myös sukeltamaan syvälle joihinkin niistä antaakseen sinulle paremman käsityksen siitä, mitä siellä on. Jos haluat lisätietoja Redditin tietoturvaloukkauksesta, voit siirtyä lähdelinkkiin, jossa Reddit AMA pidettiin ja vastaa joihinkin käyttäjien kysymyksiin tapauksesta.
Lähde: Reddit