Redditillä on asiaa. Meillä oli pieni tietoturvaan liittyvä välikohtaus. Tässä kerrotaan mitä sinun täytyy tietää. Jos et jaksa lukea koko juttua: hakkeri tunkeutui muutamaan Redditin järjestelmään ja kykeni pääsemään käsiksi osaan käyttäjädatasta, mukaan lukien osaan nykyisistä sähköpostiosoitteista, ja tietokannan varmuuskopioon vuodelta 2007, jossa on sekä vanhat suolatut että hassatut salasanat. Sen tietovuodon jälkeen olemme suorittaneet paljon tutkimuksia nähdäksemme mitä asioita on kopeloitu, ja parantaaksemme systeemejämme ja prosessejamme estääksemme samaa toistumista.
Kesäkuun 19. päivä havaitsimme kuinka päivämäärien 14.–18.6. välillä hyökkääjä pääsi käsiksi osaan työntekijöidemme käyttäjätileistä pilvipalvelun välityksellä, sekä lähdekoodia hostaavan palveluntarjoajan kautta. Meillä on ensisijaiset koodin ja infran päätepisteet vahvan kaksisuuntaisen tunnistautumisen suojaamat, mutta huomasimme kuinka SMS-pohjainen autentikointi ei ole niin turvallinen kuin haluamme sen olevan. Hyökkäyksen pääpainopiste oli SMS-viestien sieppaaminen. Mainitsemme tämän tiedon, sillä haluamme kehottaa kaikkia siirtymään token-pohjaiseen kaksisuuntaiseen autentikointimalliin.
Vaikka tämä oli vakava hyökkäys, hyökkääjä ei päässyt kirjoittamaan Redditin järjestelmiin. Hyökkääjä sai ainoastaan lukuoikeuden eräisiin systeemeihin, jotka sisälsivät varmuuskopioitua dataa, lähdekoodeja ja lokikirjoja. Hyökkääjä ei siis pystynyt muokkaamaan Redditissä olevaa informaatiota, ja olemme tehneet useita toimenpiteitä välikohtauksen jälkeen turvataksemme järjestelmän, ja kierrättäneet kaikki tuotantopuoleen liittyvät salasanat ja API-avaimet, ja parantaneet tapahtumalokeja ja valvontajärjestelmiä.
Tuolla johdannolla, joka julkaistiin Redditin palstalla r/announcements/
, Redditin työntekijät haluavat tyynnytellä lukijakuntaa. Lukijoiden, ja muidenkin Redditin käyttäjien, on hyvä lukea koko selostus ja ehkä muutama käyttäjien jättämä kommentti. Sieltä vuoti nimittäin kaikki käyttäjädata vuodelta 2007 ja muuta pientä, kuten sisäisiä lokikirjoja, konfiguraatiotiedostoja ja ainakin yhden työntekijän tietokoneen sisältämiä tiedostoja.