Teknoloji

Reddit’e korsanlar sızdı, 2007 ve öncesine ait verileri gördü

reddit

reddit güvenlik açığıReddit kullanıcıları için yayınladığı bir mesajla bir korsanın sistemlerinin bir kısmına sızdığını ve kullanıcı verilerine eriştiğini açıkladı. Erişilen verilerin arasında mevcut kullanıcı e-posta adresleri ve içinde kullanıcı adı ve şifrelerin yer aldığı, ancak bunların koruma amacıyla karıştırılmış biçimde saklandığı 2007 tarihli bir veri tabanı bulunuyor.

Reddit bu sızıntıdan etkilenen tüm kullanıcılara bir e-posta iletisi gönderdi. Bu kişilerin büyük çoğunluğu Reddit’e 2007 veya daha öncesinde katılmıştı. Öte yandan korsan, Reddit’in Haziran 2018’de kullanıcılara gönderdiği e-posta bültenlerini de okuyabildi. Bu sayede e-posta adreslerini ve takip ettikleri Reddit alt konularını ve kategorilerini de gördü. Reddit, hâlâ 2007’deki şifrelerini kullanmaya devam etme olasılığı bulunan kullanıcılarına Reddit ve diğer sitelerde şifrelerini değiştirmelerini tavsiye ediyor.

Ayrıca şirket kullanıcıların Authy veya Google Authenticator gibi iki aşamalı, simge bazlı bir kimlik doğrulama sistemi kullanmaları konusunda teşvikte bulunuyor. İlginçtir ki, korsan Reddit’in sistemlerine SMS tabanlı kimlik doğrulama sistemi üzerinden sızdı. Reddit, konuyla ilgili olarak yayınladığı yazıda, SMS tabanlı kimlik doğrulama sisteminin umdukları ölçüde güvenli olmadıklarını fark ettiklerini dile getirdi.

14 Haziran ile 18 Haziran tarihleri arasında korsan birkaç Reddit çalışanının hesabına, şirketin bulut sağlayıcısı ve kaynak maliyet barındırıcıları üzerinden sızdı. Reddit, hesaplarına erişim için iki faktörlü kimlik doğrulamayı gerekli kılıyor, ancak korsan SMS doğrulama sistemini kırmayı ve erişim sağlamayı başardı. Kötü niyetli kişi Reddit sistemindeki yedeklenmiş verileri, kaynak kodlarını ve diğer çalışan kayıtlarını görmeyi başarabildi. Ancak bunların hiçbirisini değiştirecek yetkilere sahip olmadı.

19 Haziran’da Reddit saldırıyı fark etti ve zararlarının boyutunu araştırmaya başladı. Öte yandan güvenlik önlemlerini de artırdı. Öte yandan yasal mercilere başvurdu ve soruşturmada onlarla birlikte çalıştı.

Korsanın 2005’te, Reddit’in kurulduğu yıldan 2007’ye kadar olan herkese açık ve gizli mesajları da görebildiği belirtiliyor. Güvenlik sorunuyla ilgili olarak yayınlanan paylaşıma yorumda bulunan bir kullanıcı, korsanın e-posta adreslerine bakarak bir Reddit kullanıcısının kullanıcı adını bulabileceğini, emniyette olmak adına kullanıcıların profilleri üzerinden erişilebilen paylaşımları silmesinin iyi olabileceğini söylüyor.