Reddit पुष्टि करता है कि यह हैक किया गया था—उपयोगकर्ताओं को 2FA सेट करने की अनुशंसा करता है
Reddit पुष्टि करता है कि इसे हैक कर लिया गया है
Reddit, 50 मिलियन दैनिक उपयोगकर्ताओं के साथ सामाजिक समाचार और चर्चा साइट है पुष्टि की है कि इसे हैक कर लिया गया है. 9 फरवरी की सुरक्षा घटना को साइट पर ही पोस्ट करते हुए, Reddit ने कहा कि उसे पहली बार 5 फरवरी की देर रात अपने सिस्टम के सफल उल्लंघन के बारे में पता चला। इसे “परिष्कृत फ़िशिंग अभियान के रूप में संदर्भित किया गया, जिसने Reddit कर्मचारियों को लक्षित किया,” घटना की चेतावनी पुष्टि की कि हमलावर ने आंतरिक दस्तावेज़ों और सांकेतिक शब्दों में बदलनेवाला, साथ ही साथ आंतरिक डैशबोर्ड और व्यापार प्रणालियों तक पहुंच प्राप्त की। हालांकि, Reddit ने यह भी कहा कि कोई सबूत नहीं था कि रेडिट को चलाने के लिए सिस्टम का इस्तेमाल किया गया था और अधिकांश डेटा को संग्रहीत किया गया था, दूसरे शब्दों में प्राथमिक उत्पादन प्रणाली का उल्लंघन किया गया था। इसके अलावा, चल रही घटना की जांच में कोई सबूत नहीं मिला है कि उपयोगकर्ता पासवर्ड या खाते एक्सेस किए गए थे, रिपोर्ट में कहा गया है।
Reddit उल्लंघन के पीछे लक्षित कर्मचारी फ़िशिंग हमला
ऐसी सभी सुरक्षा घटनाओं के साथ, जानकारी वर्तमान में विरल है क्योंकि उल्लंघन की जांच जारी है। हालाँकि, हम जो जानते हैं वह यह है कि ऐसी कई सुरक्षा घटनाओं की तरह, हमलावरों ने पहुँच प्राप्त करने के लिए लक्षित फ़िशिंग अभियान का उपयोग किया।
फोर्ब्स से अधिकहज़ारों PayPal खातों में सेंध लगी-क्या आपका उनमें से एक है?द्वारा डेवी विंडर
“अधिकांश फ़िशिंग अभियानों के रूप में, हमलावर ने कर्मचारियों को एक वेबसाइट की ओर इशारा करते हुए प्रशंसनीय-ध्वनि वाले संकेत भेजे, जो हमारे इंट्रानेट गेटवे के व्यवहार को क्लोन करते हैं,” रेडिट स्टेटमेंट पढ़ता है, “क्रेडेंशियल्स और सेकेंड-फैक्टर टोकन चोरी करने के प्रयास में।” ऐसा प्रतीत होता है कि एक कर्मचारी आश्वस्त था, लेकिन जल्द ही एहसास हुआ कि क्या हुआ था और रेडिट सुरक्षा टीमों को ‘स्व-रिपोर्ट’ की गई, जो तुरंत कार्रवाई में जुट गई।
इसके बाद के दिनों में, Reddit ने कहा कि जांच ने निष्कर्ष निकाला है कि वर्तमान और पूर्व कर्मचारियों के साथ-साथ कुछ विज्ञापनदाता की जानकारी के लिए सीमित संपर्क जानकारी उजागर हुई थी। रेडिट ने कहा, “हमारे पास यह सुझाव देने के लिए कोई सबूत नहीं है कि आपके किसी भी गैर-सार्वजनिक डेटा तक पहुंच बनाई गई है,” या यह कि रेडिट की जानकारी ऑनलाइन प्रकाशित या वितरित की गई है।
Reddit उपयोगकर्ताओं को खातों की सुरक्षा के लिए 2FA सेट करने की सलाह देता है
बहरहाल, Reddit ने अनुशंसा की है कि उपयोगकर्ता “महत्वपूर्ण और सरल” माप लें दो-कारक प्रमाणीकरण की स्थापना (2FA) उनके खातों पर। जबकि Reddit यह भी सुझाव देता है कि पासवर्ड को हर दो महीने में अपडेट करना एक अच्छा विचार है, साथ ही पासवर्ड मैनेजर का उपयोग करना, यह सलाह नहीं है कि अधिकांश सुरक्षा पेशेवर वर्तमान में अनदेखा करेंगे। पासवर्ड को नियमित रूप से बदलना, यानी पासवर्ड मैनेजर का उपयोग नहीं करना। वास्तव में, मेरा सुझाव है कि आप एक यादृच्छिक और मजबूत पासवर्ड या पास-वाक्यांश बनाने के लिए एक पासवर्ड प्रबंधक का उपयोग करें, 1Password इस प्रक्रिया को वास्तव में बहुत आसान बनाता है, उदाहरण के लिए।
फोर्ब्स से अधिकइस तरह हैकर्स ने पेपाल के 34,942 खातों को हैक कियाद्वारा डेवी विंडर
हालाँकि, इस बात का कोई सबूत नहीं होने के बावजूद कि इस विशेष घटना में इनसे समझौता किया गया है, मैं आपके Reddit खाते के पासवर्ड को बदलने की भी सिफारिश करूँगा। जैसा कि हाल के हाई-प्रोफाइल उल्लंघनों ने हमें सिखाया है, शुरुआती हमले के हफ्तों या महीनों बाद नए सबूत सामने आ सकते हैं और जाँच-पड़ताल, इसलिए खेद से बेहतर सुरक्षित दृष्टिकोण किसी को नुकसान नहीं पहुँचाता है।
मैं आगे की टिप्पणी के लिए Reddit पर पहुंच गया हूं और इस विकासशील कहानी को यथासमय अपडेट करूंगा।
10 फरवरी को 04.40 ET पर अपडेट किया गया
KnowBe4 में प्रमुख सुरक्षा जागरूकता अधिवक्ता जाव्वाद मलिक ने कहा: “हम इस घटना में देखते हैं कि स्पष्ट रूप से बहु-कारक प्रमाणीकरण होने के बावजूद, एक उपयोगकर्ता को अभी भी फ़िशिंग किया गया था, जो समय पर अनुस्मारक के रूप में कार्य कर रहा था कि सुरक्षा की कोई भी परत पूरी तरह से पूर्ण प्रमाण नहीं होगी। शायद इस घटना से संगठनों के लिए सबसे बड़ी सीख यह है कि फ़िश किए गए उपयोगकर्ता को अपनी त्रुटि का एहसास हुआ और उसने समस्या की रिपोर्ट की जिससे Reddit की सुरक्षा टीम को समस्या की शीघ्रता से जाँच करने की अनुमति मिली। यही कारण है कि उपयोगकर्ता प्रशिक्षण इतना महत्वपूर्ण है, ताकि लोग न केवल पहचान कर सकें एक फ़िशिंग ईमेल, लेकिन इसकी रिपोर्ट करना जानते हैं।”
