Kuopassa.net

Lisää kirjoituksia netistä.

Etsi blogista

Köntsävaroitus

Huomaan täällä blogissa nurisevani asioista niin usein, että koen tarpeelliseksi varoittaa lukijoitani mikäli he ovat saamassa silmilleen valituspitoisen blogipostauksen. Tämä postaus on tunnistettu sellaiseksi. Jos valittaminen ei just nyt inspaa, siirry lukemaan jotain muuta.

Ullatuus! Redditiläisten vaippatarve nousujohteinen.

Kirjoitettiin
Päivitettiin 5. elokuuta 2018 kello 07.44

Redditillä on asiaa. Meillä oli pieni tietoturvaan liittyvä välikohtaus. Tässä kerrotaan mitä sinun täytyy tietää. Jos et jaksa lukea koko juttua: hakkeri tunkeutui muutamaan Redditin järjestelmään ja kykeni pääsemään käsiksi osaan käyttäjädatasta, mukaan lukien osaan nykyisistä sähköpostiosoitteista, ja tietokannan varmuuskopioon vuodelta 2007, jossa on sekä vanhat suolatut että hassatut salasanat. Sen tietovuodon jälkeen olemme suorittaneet paljon tutkimuksia nähdäksemme mitä asioita on kopeloitu, ja parantaaksemme systeemejämme ja prosessejamme estääksemme samaa toistumista.

Kesäkuun 19. päivä havaitsimme kuinka päivämäärien 14.–18.6. välillä hyökkääjä pääsi käsiksi osaan työntekijöidemme käyttäjätileistä pilvipalvelun välityksellä, sekä lähdekoodia hostaavan palveluntarjoajan kautta. Meillä on ensisijaiset koodin ja infran päätepisteet vahvan kaksisuuntaisen tunnistautumisen suojaamat, mutta huomasimme kuinka SMS-pohjainen autentikointi ei ole niin turvallinen kuin haluamme sen olevan. Hyökkäyksen pääpainopiste oli SMS-viestien sieppaaminen. Mainitsemme tämän tiedon, sillä haluamme kehottaa kaikkia siirtymään token-pohjaiseen kaksisuuntaiseen autentikointimalliin.

Vaikka tämä oli vakava hyökkäys, hyökkääjä ei päässyt kirjoittamaan Redditin järjestelmiin. Hyökkääjä sai ainoastaan lukuoikeuden eräisiin systeemeihin, jotka sisälsivät varmuuskopioitua dataa, lähdekoodeja ja lokikirjoja. Hyökkääjä ei siis pystynyt muokkaamaan Redditissä olevaa informaatiota, ja olemme tehneet useita toimenpiteitä välikohtauksen jälkeen turvataksemme järjestelmän, ja kierrättäneet kaikki tuotantopuoleen liittyvät salasanat ja API-avaimet, ja parantaneet tapahtumalokeja ja valvontajärjestelmiä.

Tuolla johdannolla, joka julkaistiin Redditin palstalla r/announcements/, Redditin työntekijät haluavat tyynnytellä lukijakuntaa. Lukijoiden, ja muidenkin Redditin käyttäjien, on hyvä lukea koko selostus ja ehkä muutama käyttäjien jättämä kommentti. Sieltä vuoti nimittäin kaikki käyttäjädata vuodelta 2007 ja muuta pientä, kuten sisäisiä lokikirjoja, konfiguraatiotiedostoja ja ainakin yhden työntekijän tietokoneen sisältämiä tiedostoja.

Tietoa kirjoittajasta

"Ullatuus! Redditiläisten vaippatarve nousujohteinen." on saanut pisteet 7 yhteensä 10 pisteestä. Julkaisu on pisteytetty 1 kerran. Tämä juttu mukaan laskettuna blogissa on julkaistu yhteensä 1268 kirjoitusta. Tämän sivun niin sanottu kestolinkki on tässä siltä varalta jos haluat linkittää siihen esimerkiksi blogista tai joltain foorumilta..

Tsekkaa myös minkälaisia valokuvia teen: www.pjti.fi