您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

社交新聞網站Reddit遭駭客入侵

社交新聞網站Reddit於8/1在官網坦承遭到駭客入侵,駭客取得了幾名Reddit員工登入雲端及原始碼代管服務供應商的憑證,進而存取了該站在2007年的資料庫備份。引起關注的是,駭客的主要攻擊管道是攔截了員工手機的簡訊,破解了相關登入系統的雙因素驗證機制(Two Factor Authentication, 2FA)。駭客在2018/6/14 ~ 18之間入侵了幾名員工登入該站的雲端與原始碼代管服務供應商的憑證,儘管這些服務的登入都要求雙因素驗證,但Reddit卻發現基於簡訊(SMS)的驗證機制並不如預期中的安全,因而提醒所有人最好都改採基於認證載具(Token)的雙因素驗證機制。

在這次的資料外洩事件中,駭客存取了Reddit存放備份資料、原始碼與其它紀錄的系統,但未取得Reddit系統的寫入權限。與用戶有關的資料之一是該站在2007年的備份資料庫,內含自2005年至2007年的所有Reddit用戶資料,包括使用者名稱、加鹽雜湊密碼(Salted Hashes)、電子郵件位址,以及所張貼的內容。其次則是Reddit在2018/6/3 ~ 17之間寄給用戶的內容摘要電子郵件,曝光的則是用戶的使用者名稱與電子郵件位址。因此,在2007年之後才成為Reddit會員,而且也未訂閱Reddit內容摘要的用戶將不會受到此一資料外洩事件的影響。除了用戶的資料外,Reddit的原始碼、內部紀錄、配置檔案與其它的工作文件都遭到駭客存取。Reddit已經鎖住並更換所有的機密與API金鑰,也已強化登入與監控系統。

採用密碼+簡訊的雙因素驗證因為相對方便,因此成為不少使用者的2FA首選,但駭客卻可藉由劫持他人SIM卡以攔截通訊內容,繼之取得使用者的憑證。所謂的SIM劫持(SIM Hijacking)是駭客利用所取得的電話號碼與其它資訊,假冒用戶本人向電信業者申請新的SIM卡,再藉以登入受害者的社交網站或其它帳號。美國國家標準技術研究所(NIST)早在2016年發表的「數位身分認證指南」(NIST SP 800-63, Digital Authentication Guideline)中,就不再建議採用基於簡訊或電話語音的雙因素驗證方式。目前Reddit已與執法機關合作展開調查,也通知受影響的用戶變更密碼,由於懷疑基於簡訊的雙因素驗證是造成此一意外的主因,顯示出SIM卡劫持與簡訊驗證的安全風險已日趨嚴重。已強制要求員工採用基於Token的雙因素驗證。

Reference

資料來源:
https://www.theguardian.com/technology/2018/aug/02/reddit-user-information-usernames-passwords-email-addresses-hack
https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/
https://www.ithome.com.tw/news/124948
國家資通安全會報技術服務中心整理
 

Publish Date
2018/8/23 0:00:00