Inhaltsverzeichnis:
Reddit, eine der beliebtesten Websites der Welt, gab am 1. August 2018 bekannt, dass ein Sicherheitsverstoß aufgetreten ist, bei dem einige Benutzerdaten kompromittiert wurden.
Die Sicherheitsverletzung betrifft hauptsächlich Redditoren, die seit 2007 oder früher auf der Website sind. Aber auch wenn Sie Ihr Konto zu einem späteren Zeitpunkt erstellt haben, sollten Sie weiterlesen, da die Möglichkeit besteht, dass noch Informationen verfügbar sind.
Was ist passiert?
Laut Reddit hat ein Angreifer zwischen dem 14. und 18. Juni dieses Jahres "einige Konten unserer Mitarbeiter bei unseren Cloud- und Quellcode-Hosting-Anbietern kompromittiert". Obwohl die Zwei-Faktor-Authentifizierung eingerichtet wurde, erfolgte dies per SMS, und der betreffende Angreifer konnte die Codes mithilfe eines SMS-Abfangangriffs erfassen.
Der Angreifer konnte keine Schreibrechte für Reddit erhalten, konnte jedoch Lesezugriff auf bestimmte Standortsysteme erlangen.
Dabei stellt Reddit fest, dass der Angreifer Folgendes erhalten hat:
Eine vollständige Kopie einer alten Datenbanksicherung, die sehr frühe Reddit-Benutzerdaten enthält - vom Start der Site im Jahr 2005 bis Mai 2007.
Mit dieser Datenbanksicherung wurden Benutzernamen, gesalzene + gehashte Kennwörter, E-Mail-Adressen, öffentliche Inhalte und private Nachrichten abgerufen (nur wenn Sie zwischen 2005 und Mai 2007 ein Reddit-Konto hatten).
Zusätzlich erwarb der Angreifer:
Protokolle, die die E-Mail-Zusammenfassungen enthalten, die wir zwischen dem 3. Juni und dem 17. Juni 2018 gesendet haben. Die Zusammenfassungen verbinden einen Benutzernamen mit der zugehörigen E-Mail-Adresse und enthalten Vorschläge für Beiträge aus ausgewählten, von Ihnen abonnierten, populären und arbeitssicheren Unterabschnitten.
Was Sie tun können, um sich zu schützen
Nichts davon ist großartig, aber zum Glück arbeitet Reddit bereits daran, sicherzustellen, dass potenziell betroffene Benutzer geschützt sind.
Wenn Ihr Konto zwischen 2004 und Mai 2007 erstellt wurde, sendet Reddit derzeit PMs / E-Mails mit weiteren Anweisungen zur Vorgehensweise. Darüber hinaus müssen alle Konten, die in dieser Zeit aktiv waren, ihr Kennwort zurücksetzen.
Auch wenn Reddit Sie nicht zwingt, Ihr Passwort zurückzusetzen, ist dies eine gute Idee, nur um sicherzustellen, dass alle Ihre Basen abgedeckt sind. Wenn Sie noch keinen Passwort-Manager verwenden, ist es jetzt an der Zeit, dies zu ändern.
Darüber hinaus sollte die Zwei-Faktor-Authentifizierung inzwischen von allen genutzt werden. Und wenn Sie die Option haben, verwenden Sie diese Option immer mit einem tokenbasierten System und nicht über SMS.
Warum sollten Sie (und Ihre Familie) 2FA und einen Passwort-Manager verwenden?
