Reddit сообщил о краже данных пользователей в период с 2005 по 2007 год Статьи редакции
В компании предупредили, что не стоит пользоваться SMS-авторизацией.
- Администрация площадки Reddit сообщила об атаке, в ходе которой взломщики захватили аккаунты нескольких сотрудников. Они получили доступ к чтению некоторых данных, но не смогли вносить изменения в системы компании.
- Хакеры украли копию старой базы данных, которая содержала email-адреса, зашифрованные пароли и сообщения пользователей в период с запуска сервиса в 2005 году по май 2007 года. Reddit оповестила всех затронутых пользователей.
- Взломщики получили доступ к аккаунтам сотрудников Reddit, перехватив их SMS для двухфакторной авторизации. В компании заметили, что авторизация через SMS оказалась ненадёжной и попросили всех использовать генерацию дополнительного пароля по ключу и токену, как в приложении Google Authenticator.
- В компании заметили, что 2,5 месяца назад наняли первого главу отдела безопасности компании. «Пока он не уволился», — отметил инженер-основатель Reddit Кристофер Слоу.
0
показов
2.8K
открытий
В России Authy и Google Authenticator актуальны вдвойне, т.к. SMS легко может перехватить товарищ майор.
Почитайте про ss7 смс может перехватить школьник из соседнего подьезда.
Насчёт школьника вы загнули, но перехватить смс действительно довольно реально! И это мы не берём вирусы на Андроидах
Ну так а в чем сложность? Главное доступ к потоку, который дает лицензия, лицензию оператора можно купить на черном рынке очень дешево, а лицензия действует по всему миру без границ.
Хм. Любой школьник покупает в даркнете лицензию сотового оператора?)) Хм.
Не исключено, но я б не обобщал!)
Ну понятно что это не массовое явление, и туда не забредают по случайному клику, но реализовать перехват смс / звонка / местоположения очень легко
Я не спорю, что имея подключение SS7 - перехват очень прост. Само подключение организовать - не так просто. Наверное, легче в том же даркнете купить перехват пары нужных телефонов у компетентных людей
Конечно в сравнении с затратой средств + времени, дешевле перехват пары номеров, но вот зная как это работает изнутри, можно знать как обезопасить себя.
В случае с SS7 не использовать мобильную связь вовсе)))
Беда, что многие сервисы предлагают телефонный номер/смс как 2FA. Без выбора с OTP. Особенно страшно - когда ресет пароля тоже через телефон.
Это проблема. Угон акка в таком сервисе - дело техники. Жаль, не все это понимают. А у меня даже банк на пуши переходит
С Authy ещё проблема в том, что он к номеру привязан, но правда бэкапы аккаунтов зашифрованы паролем. А вот Google Authenticator уже к номеру не привязан.
А у Google Authenticator восстановление тупо через резервные коды - в итоге можно было не заморачиваться с телефонами, приложениями, синхронизацией времени, шифрованием и т.п. И тупо сделать 2 пароля, т.к. тебе всё равно придётся помнить (или записать в менеджере паролей) этот резервный код.
Судя по комментариям пользователей больше волнуют кремлеботы, чем взлом.
Комментариям здесь? Кмк, логично. Взлом далекого заграничного сайта - не очень влияет на местных пользователей. Вы же не пользуетесь одним паролем на разных сайтах, да?)) а вот кремлеботы - довольно актуальная проблема в наших краях.
Нет, на реддит, в комментариях к сообщению о взломе, многие пишут о проблеме "русских ботов".
А!) ясно! Не читал первоисточник
Комментарий удален модератором