The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Фишинг-атака на сотрудников Reddit привела к утечке исходных текстов платформы

10.02.2023 11:32

Дискуссионная площадка Reddit раскрыла сведения об инциденте, в результате которого неизвестные получили доступ ко внутренним системам сервиса. Системы были скомпрометированы в результате компрометации учётных данных одного из сотрудников, который стал жертвой фишинга (сотрудник ввёл свои учётные данные и подтвердил вход двухфакторной аутентификации на подставном сайте, повторяющем интерфейс внутреннего шлюза компании).

При помощи захваченной учётной записи атакующие смогли получить доступ к внутренним документам компании и актуальным исходным текстам платформы (когда-то Reddit официально публиковал почти весь свой код, за исключением антиспам-систем, но 5 лет назад свернул данную практику). По заверению Reddit атакующие не получили доступ к персональным данным пользователей и первичным системам, обеспечивающим работу сайта и рекламной сети Reddit Ads.

  1. Главная ссылка к новости (https://www.redditinc.com/blog...)
  2. OpenNews: Массовый дефейс дискуссионных групп в Reddit
  3. OpenNews: Компрометация учётных записей сотрудников Reddit привела к утечке БД
  4. OpenNews: Reddit открывает исходные коды своего сайта.
  5. OpenNews: Уязвимость в API привела к утечке персональных данных 37 млн клиентов T-Mobile
  6. OpenNews: Утечка содержимого внутренних Git-репозиториев компании Яндекс
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58634-reddit
Ключевые слова: reddit, hack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (43) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:40, 10/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    ещё одна монета в копилку опенсорса
     
     
  • 2.11, пох. (?), 12:52, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • –13 +/
    Нет, не в твою. ЭТИ с тобой не поделятся.

    А почему редит перестал выкладывать исходники - ну сам догадайся, не маленький.

    (и да, это очередной гвоздь в гроб ненужно-опенcoca)

     
     
  • 3.13, ivan_erohin (?), 13:48, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > почему редит перестал выкладывать исходники - ну сам догадайся, не маленький.

    интрига на пустом месте для 13-летних девочек.
    инвесторы жлобы потому что.

    ps: поисковые системы на вопрос "почему reddit перестал выкладывать исходники"
    осмысленных ответов мне не дали.

     
     
  • 4.52, User (??), 12:09, 13/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ChatGPT спроси!
     
  • 3.21, torvn77 (ok), 18:52, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >ЭТИ с тобой не поделятся  

    И слава Богу что не поделяться, не будет поводов им говорить что у них что либо украли.  

    Но вот чтобы хотелось, так это публикацию кусков кода отвечающих за теневые баны, цензуру и слежку за пользователями.

     
     
  • 4.36, Аноним (36), 08:05, 11/02/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Слежку за пользователями на сайте? Когнитивные способности опенсорс-курьеров поражают.
     

  • 1.2, Аноним (2), 11:58, 10/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    >сотрудник ввёл свои учётные данные и подтвердил вход двухфакторной аутентификации на подставном сайте

    Двухфакторная аутентификация защитит вас! Говорят в MS/GitHub.

     
     
  • 2.6, Аноним (6), 12:09, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Даже бронированный сейф не защитит, если ты ключ от него добровольно отдашь первому сладкоречивому встречному.
     
     
  • 3.10, Аноним (10), 12:39, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А если то можно просто выбирать матрац.
     
     
  • 4.28, Аноним (28), 23:14, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты chatGPT?
     
  • 2.12, бандерлоги (?), 12:52, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Потому что мы ВСЕ так говорим!

     
  • 2.15, Аноним (15), 13:52, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кого надо защитит, а кого ненадо не защитит.
    Увы, но понятие 2FA как его понимает большинчиво во-первых было искаверкано, во-вторых устарело.
    Сейчас под 2FA подразумевается либо sim-карта (небезопасно, ненадёжно, неанонимно, стоит денег, неработает замкадом), либо соцсети/мессенджеры (телега, вк, которые не намного лучше sim).
    И то и другое лишь создают иллюзию безопасности.
    А лишенные множеств недостатков TOTP гораздо менее распространены, так что стоит перестать говорить про 2FA и говорить только про TOTP (ну и про недостатки sim/whatsup/соцсетей).
     
     
  • 3.18, idontlikewebmonkeys (?), 15:51, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > TOTP

    спустя 5 лет что следующим будете возводить в кумиры?

     
     
  • 4.41, Аноним (41), 17:35, 11/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    RFC6238 лет больше, чем тебе. О чём ты вообще?
     
  • 3.54, Аноним (54), 16:44, 13/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Замкадом это кто?
     

  • 1.14, LocalObserver (?), 13:49, 10/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну вот как так! Ладно сотрудники плохо обучены. Но давно ведь есть U2F, неужто трудно чувакам из поддержки раздать токены?
     
     
  • 2.23, Аноним (6), 20:07, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот теперь раздадут. Ну или нет.
     

  • 1.19, Аноним (19), 18:43, 10/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    С Яндексом еще не разобрались, а тут уже и Reddit  подъехал. Астановитесь!
     
  • 1.20, torvn77 (ok), 18:49, 10/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    И как, нашли как устроены теневые баны и прочие средства цензуры?
     
     
  • 2.25, Атон (?), 21:06, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    не думаю что в реддите знают как устроены баны в твиторе и фейсбука.
     
     
  • 3.26, torvn77 (ok), 21:42, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Напрямую банят, пр старинке?
     
     
  • 4.27, Аноним (27), 22:11, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Фэбээровцы навещают.
     
  • 4.31, Атон (?), 23:43, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Напрямую банят, пр старинке?

    в реддите то?  банят явно.

    теневой бан, это когда пользователь не знает что он забанен и его постов не видят другие.  пишет посты, пишет комменты, а ответов нет.

     
     
  • 5.43, anonymous (??), 23:14, 11/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну это частный случай виртуализации пользователя (каждому пользователю подсовывают свой мир). Из за этого я что то в последнее время стараюсь относиться в увиденному на экране как к срежессированному театру, доверять поменьше. А как все здорово начиналось, всемирая сеть, омбен данными любого с любым, прогресс. Дальше будет еще хлеще, с новыми то вычислительными мощностями.
     
     
  • 6.50, (?), 01:28, 13/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а на опеннете же чтото такое делали, типа не показывать посты пользователя Х, это же по сути оно и есть, хотя может и путаю, что тут, но это решается простой сменой аккаунта, ... ну конечно там есть системы которые твинков определяют, но для сим карт это по базовым станциям работает, а для интернетов по ip полагаю, так впн щас из каждого утюга предлагают купить, не даром в каждом браузере уже есть приватные вкладки, большой проблемы в этом не вижу, в веке эдак 15 в период рассвета иквизиции публичные дома особо никто не трогал, хотя грешили там по определению, вот и тут баланс установится и возможность потроллить врядле кудато денется, так что тотальной цензуры не будет так же как и тотальной свободы слова, просто рамки "разумного" будут плавать от крайности к крайности.
     
  • 6.56, Прохожий (??), 09:36, 17/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Начиналось все плохо, умные люди сразу говорили, что уши диктатуры торчат из-за прогресса и что за этим прогрессом нужен глаз да глаз, но розовые пони забили на все предупреждения.
     
  • 2.55, Аноним (55), 11:36, 15/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Какая разница, как именно они устроены? Это делается элементарным кодом, для одних отфильтровать, другим показать. Важнее то, что они действительно есть, и это даже не скрывают:
    https://www.reddit.com/r/AutoModerator/wiki/library/#wiki_user_bot_ban_list
    Ссылку взял из https://www.reveddit.com/about/faq/ где примеры есть.
     

  • 1.29, Аноним (29), 23:30, 10/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Да уже пофиг. С появлением в широком доступе нейросетей типа чатгпт текстовое общение в интернете уже утратило всякий смысл. В скором времени теория мертвого интернета станет из конспирологии обыденной реальностью. Интернет и раньше состоял из спама, но теперь еще и контент будет создаваться нейросетями, в том числе пользовательский контент!
    Как ни крути, людям интересны прежде всего другие люди. Полно примеров, когда качественный контент не заходит, пока его не продвинут какие-нибудь инфлюэнсеры. Когда пипл просечет, что его нейрожвачкой кормят, соцсети ждет невиданный кризис.
     
     
  • 2.34, Аноним (-), 07:31, 11/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Половина роликов на ютубе уже такой шлак из помеси бреда и компиляции других роликов/фоток, что информационная (по аналагу с экологической) катастрофа неизбежна.
     
     
  • 3.51, torvn77 (ok), 02:07, 13/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Половина роликов на ютубе уже такой шлак из помеси бреда и компиляции
    > других роликов/фоток, что информационная (по аналагу с экологической) катастрофа неизбежна.

    Тут всё просто, какие ролики ты смотришь, такие ИИ ютуба тебе и подкладывает.  
    Ну и подписки тоже выбирать нужно.

     
  • 2.38, Аноним (38), 10:23, 11/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Соцсети изначально придуманы для аудитории, поглощающей низкосортный контент. Нейросети норм, в самый раз для толпы. Будет ли это хороший контент? Конечно, нет. Добро пожаловать в 1%, если не устраивает. В конечном счёте, уровень качественного контента только вырастет.
     
     
  • 3.45, Аноним (45), 11:12, 12/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вы сами верите в то, что несёте?
     
     
  • 4.48, Аноним (38), 13:50, 12/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Открой дзен и посмотри на тот треш, которым пичкают аудиторию (с целью обмануть и монетизировать). Любая нейронка справится с факт-чекингом куда лучше тамошних авторов, а писать у неё выйдет более интересно.
     
  • 3.53, Аноним (53), 16:14, 13/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Соцсети по изначальной идее заинтересованы в том, чтобы интерес к контенту был в... большой текст свёрнут, показать
     

  • 1.30, Аноним (30), 23:30, 10/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему броузеры не ведут до сих пор белый список сайтов, и при помощи какой нибудь нейронки не ругаются на подмену символов или чрезвычайно похожий адрес в домене типа https://www.аррӏе.com?Ну там чтобы с весами коэффициент подозрительности домена высчитывался и ругался, хотя бы просто окошком с предупреждением. Большим красным и визжащим как касперский в нулевые. Еще бы как нибудь от подмены днс на уровне клиента защищаться научиться. 2023 год на дворе, мало того что от детских болезней фишинга не избавились, так еще и зэро-дей зараза вылезающая из песочницы(!!) все последние 2 года в новостях была.
     
     
  • 2.35, Бывалый смузихлёб (?), 07:39, 11/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    заходя на сколь-нибудь важные сайты досаточно посмотреть кому выдан сертификат на https
    У крупных компаний обычно полноценное описание юрлица
    Хоть проверялку для браузера сделать бы - чтобы явно писал наименование владельца сертификата, даже без белых списков половину проблем решит
     

  • 1.32, Сушилин (?), 03:05, 11/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Скиньте кто магнетку на код пожалуйста
     
  • 1.33, Бизопастник (?), 03:35, 11/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вот поэтому надо добавить еще 10 факторов + бронежилет + бронепамперс
     
     
  • 2.47, Аноним (47), 12:59, 12/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а не проще тем сотрудникам просто руки за спиной связать? всё равно от них толку нет.
     

  • 1.40, mos87 (ok), 15:40, 11/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    наверняка сотрудник было особенное

    (non)crime hate incident

    высшая степень реталиации!

     
  • 1.44, Вы забыли заполнить поле Name (?), 23:29, 11/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто-нибудь нашел где скачать?
     
  • 1.46, Аноним (47), 12:57, 12/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > сотрудник ввёл свои учётные данные и подтвердил вход двухфакторной аутентификации на подставном сайте

    А не пора ли уволить там 50% сотрудников?

     
  • 1.49, Аноним (49), 19:20, 12/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >на подставном сайте, повторяющем интерфейс внутреннего шлюза компании

    А как он попал на подставной сайт?
    Ведь не из закладок же?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру