Reddit遭黑客攻击，电子邮件、密码、私人信息被盗

这次受害者是Reddit，似乎有人真的对Reddit的账户禁令政策或偏见版主很生气。

Reddit社交媒体网络（social media network）今天宣布，它在6月份遭遇了一次安全漏洞，泄露了一些用户的数据，包括他们当前的电子邮件地址和一个包含用户名和散列密码的2007年旧数据库备份。

据Reddit称，未知黑客设法以只读方式访问了其一些系统，其中包含用户的备份数据、源代码、内部日志和其他文件。

Reddit首席技术官克里斯托弗·斯洛韦（Christopher Slowe）在周三发布到该平台的一篇帖子中承认，这是一次严重的黑客攻击，但向用户保证，黑客没有进入Reddit系统。

“攻击者无法更改Reddit信息，自事件发生以来，我们已采取措施进一步锁定和轮换所有生产机密和API密钥，并增强我们的日志记录和监控系统，”斯洛韦写道。

据Slowe称，备份中包含的最重要数据是账户凭证（用户名及其相应的加密和哈希密码）、电子邮件地址和所有内容，包括私人消息。

攻击者绕过了基于SMS的双因素身份验证

Reddit在6月19日得知数据泄露，并表示攻击者在6月14日至18日期间，在其云和源代码托管提供商处泄露了Reddit员工的一些账户。

黑客通过截获旨在通过一次性密码发送给Reddit员工的短信来实现，最终绕过了Reddit的双因素身份验证（2FA）就地攻击。

对于那些仍然依赖基于短信的身份验证并认为其安全的人来说，安全漏洞应该是一个警钟。是时候不再使用这种方法，转而使用其他非基于短信的双因素身份验证了。

Reddit还鼓励用户转向基于令牌的双因素认证，即通过应用程序生成唯一的一次性密码。

Reddit表示，用户可以按照违规公告页面上提到的几个步骤来检查自己的账户是否涉及其中。

此外，Reddit将为可能在入侵中被窃取登录凭据的用户重置密码，并直接通知所有受影响的用户，告知他们如何保护自己。