本周的 Reddit 漏洞表明该公司的安全性(仍然)严重不足
展开
盖蒂图片社
展开
盖蒂图片社
本周,热门讨论网站 Reddit 披露了另一个安全漏洞,该漏洞是由成功窃取员工登录凭据的攻击造成的,证明其安全性仍未达到标准。
在周四的帖子中,Reddit 首席技术官 Chris “KeyserSosa” Slowe 表示,在该员工的帐户遭到破坏后,攻击者获得了对数百个 Reddit 的源代码、内部文档、表、内部仪表板、业务系统和联系信息的访问权限。雇员。 Slowe 表示,过去几天对此次违规事件的调查没有发现任何证据表明该公司的主要生产系统或用户密码数据遭到访问。
>“2023 年 2 月 5 日(太平洋标准时间),我们发现了一场针对 Reddit 员工的复杂网络钓鱼活动,”Slowe 写道。 “与大多数网络钓鱼活动一样,攻击者发出看似合理的提示,将员工指向一个克隆我们内联网网关行为的网站,目的是窃取凭据和副手令牌。邮递员。”
只有一名员工上当受骗,Reddit 随之遭到黑客攻击。
这不是第一次成功的凭据网络钓鱼活动导致 Reddit 的网络遭到破坏。 2018 年,针对另一名 Reddit 员工的成功网络钓鱼攻击导致大量敏感用户数据被盗,包括加密和哈希密码数据、匹配的用户名、电子邮件地址、邮件和所有用户内容,包括私人消息。在这起较早的违规行为中,网络钓鱼受害者的员工帐户受到一种弱形式的双因素身份验证 (2FA) 的保护,这种身份验证依赖于通过短信发送的一次性密码 (OTP)。多年来,安全从业者一直对基于 SMS 的 2FA 表示不满,因为它容易受到多种攻击技术的攻击。一种称为 SIM 交换,攻击者通过诱骗移动运营商移植来控制目标电话号码。另一个是网络钓鱼 OTP。
当 Reddit 官方披露 2018 年的漏洞时,他们表示他们从经验中了解到“SMS 身份验证并不像我们希望的那样安全”,并且“我们强调鼓励这里的每个人切换到基于令牌的 2FA。 "
快进几年,很明显 Reddit 仍然没有吸取有关保护员工身份验证流程的正确教训。 Reddit 没有透露它现在使用的是哪种 2FA 系统,但承认攻击者设法窃取了员工的第二因素令牌告诉我们所有我们需要知道的——网站聊天继续使用 2FA,这非常容易受到凭据的影响网络钓鱼攻击。
这种易感性的原因可能各不相同。在某些情况下,令牌基于员工在登录过程中收到的推送,通常是在输入密码后立即收到。推送要求员工单击链接或“是”按钮。当员工在钓鱼网站上输入密码时,他们希望收到推送。由于网站看似真实,员工没有理由不点击链接或按钮。
由 Authy 或 Google Authenticator 等身份验证应用程序生成的 OTP 也容易受到攻击。假网站不仅会钓鱼密码,还会钓鱼 OTP。网站另一端的快速攻击者或自动中继快速将数据输入真实的员工门户。这样,目标公司就被黑客入侵了。
现在可用的最佳 2FA 形式符合称为 FIDO(在线快速身份识别)的行业标准。该标准允许多种形式的 2FA 需要物理硬件,最常见的是手机,靠近登录帐户的设备。由于登录员工帐户的网络钓鱼者距离身份验证设备数英里或数个大陆,因此 2FA 失败。如果除了证明注册设备的所有权外,用户还必须向身份验证设备提供面部扫描或指纹,则可以加强 FIDO 2FA。这个措施...
展开
盖蒂图片社
本周,热门讨论网站 Reddit 披露了另一个安全漏洞,该漏洞是由成功窃取员工登录凭据的攻击造成的,证明其安全性仍未达到标准。
在周四的帖子中,Reddit 首席技术官 Chris “KeyserSosa” Slowe 表示,在该员工的帐户遭到破坏后,攻击者获得了对数百个 Reddit 的源代码、内部文档、表、内部仪表板、业务系统和联系信息的访问权限。雇员。 Slowe 表示,过去几天对此次违规事件的调查没有发现任何证据表明该公司的主要生产系统或用户密码数据遭到访问。
>“2023 年 2 月 5 日(太平洋标准时间),我们发现了一场针对 Reddit 员工的复杂网络钓鱼活动,”Slowe 写道。 “与大多数网络钓鱼活动一样,攻击者发出看似合理的提示,将员工指向一个克隆我们内联网网关行为的网站,目的是窃取凭据和副手令牌。邮递员。”
只有一名员工上当受骗,Reddit 随之遭到黑客攻击。
这不是第一次成功的凭据网络钓鱼活动导致 Reddit 的网络遭到破坏。 2018 年,针对另一名 Reddit 员工的成功网络钓鱼攻击导致大量敏感用户数据被盗,包括加密和哈希密码数据、匹配的用户名、电子邮件地址、邮件和所有用户内容,包括私人消息。在这起较早的违规行为中,网络钓鱼受害者的员工帐户受到一种弱形式的双因素身份验证 (2FA) 的保护,这种身份验证依赖于通过短信发送的一次性密码 (OTP)。多年来,安全从业者一直对基于 SMS 的 2FA 表示不满,因为它容易受到多种攻击技术的攻击。一种称为 SIM 交换,攻击者通过诱骗移动运营商移植来控制目标电话号码。另一个是网络钓鱼 OTP。
当 Reddit 官方披露 2018 年的漏洞时,他们表示他们从经验中了解到“SMS 身份验证并不像我们希望的那样安全”,并且“我们强调鼓励这里的每个人切换到基于令牌的 2FA。 "
快进几年,很明显 Reddit 仍然没有吸取有关保护员工身份验证流程的正确教训。 Reddit 没有透露它现在使用的是哪种 2FA 系统,但承认攻击者设法窃取了员工的第二因素令牌告诉我们所有我们需要知道的——网站聊天继续使用 2FA,这非常容易受到凭据的影响网络钓鱼攻击。
这种易感性的原因可能各不相同。在某些情况下,令牌基于员工在登录过程中收到的推送,通常是在输入密码后立即收到。推送要求员工单击链接或“是”按钮。当员工在钓鱼网站上输入密码时,他们希望收到推送。由于网站看似真实,员工没有理由不点击链接或按钮。
由 Authy 或 Google Authenticator 等身份验证应用程序生成的 OTP 也容易受到攻击。假网站不仅会钓鱼密码,还会钓鱼 OTP。网站另一端的快速攻击者或自动中继快速将数据输入真实的员工门户。这样,目标公司就被黑客入侵了。
现在可用的最佳 2FA 形式符合称为 FIDO(在线快速身份识别)的行业标准。该标准允许多种形式的 2FA 需要物理硬件,最常见的是手机,靠近登录帐户的设备。由于登录员工帐户的网络钓鱼者距离身份验证设备数英里或数个大陆,因此 2FA 失败。如果除了证明注册设备的所有权外,用户还必须向身份验证设备提供面部扫描或指纹,则可以加强 FIDO 2FA。这个措施...
What's Your Reaction?
