水曜日、Redditはハッカーが複数のシステムに侵入し、現在のメールアドレスや、古い「ソルト化・ハッシュ化」されたパスワードを含む2007年のバックアップなど、一部のユーザーデータにアクセスしたと報告しました。「深刻な攻撃」と表現されたこのインシデントは、6月14日から18日の間に発生しました。幸いなことに、攻撃者はRedditシステムへの書き込み権限は取得しませんでした。代わりに、バックアップデータ、ソースコード、その他のログを含む一部のシステムへの読み取り専用アクセス権を取得しました。
Reddit の調査は終了し、同サイトでは以下の種類のデータが侵害されたことが判明しました。
-
2007年以前のすべてのRedditデータ(アカウント認証情報とメールアドレスを含む)
-
アクセスされた情報: 2005 年のサイト開設から 2007 年 5 月までの、非常に初期の Reddit ユーザーデータを含む古いデータベース バックアップの完全なコピー。Reddit の初期の数年間は機能がはるかに少なかったため、このバックアップに含まれる最も重要なデータは、アカウント認証情報 (ユーザー名 + ソルト付きハッシュパスワード)、電子メール アドレス、当時のすべてのコンテンツ (ほとんどが公開メッセージですが、プライベート メッセージも含む) です。
-
情報が含まれているかどうかを確認する方法:影響を受けたユーザーにメッセージを送信し、認証情報がまだ有効な可能性のあるアカウントのパスワードをリセットしています。2007年以降にRedditに登録された方は、これで問題ありません。プライベートメッセージ(PM)またはメールの受信トレイをご確認ください。影響を受けている場合は、すぐにお知らせいたします。
-
-
2018年6月にRedditから送信されたメールダイジェスト
-
アクセスされた情報: 2018年6月3日から6月17日までに送信したメールダイジェストのログ。ログには、ダイジェストメール自体が含まれています。内容は以下のとおりです。ダイジェストメールはユーザー名とメールアドレスを紐付け、登録している人気サブレディットや職場で利用可能なサブレディットからのおすすめ投稿を表示します。
-
情報が含まれているかどうかを確認する方法:該当期間中にアカウントにメールアドレスが登録されていない場合、または「メールダイジェスト」のユーザー設定がオフになっていた場合は、影響を受けません。それ以外の場合は、 2018年6月3日から17日の間に[email protected]から届いたメールを受信トレイで検索してください。
-
何をすべきでしょうか?
Redditは、事件について法執行機関に通報しました。また、「盗まれた認証情報がアカウントの現在のパスワードを反映している可能性がある場合」にユーザーアカウントにメッセージを送信しています。さらに、Redditはシステムのセキュリティが強化されたと述べています。
上記のグループのいずれかまたは両方に該当すると思われる場合は、Reddit ではアカウントのパスワードをリセットすることをお勧めします。
さらに、次のように結論づけています。
Reddit がパスワードの変更を促すかどうかに関わらず、11 年前に Reddit で使用したパスワードを現在も他のサイトで使用しているかどうかを考えてみてください。
メールアドレスが影響を受けた場合は、Redditアカウントに、そのアドレスに関連付けたくない情報がないかご確認ください。アカウントから情報を削除する方法については、こちらのヘルプページをご覧ください。
Redditがこのセキュリティ侵害を公衆の注意を引いたことは称賛に値しますが、発表が遅すぎたのではないかと疑問視する声もあるかもしれません。何しろ、この事件は約6週間前に発生しています。いずれにせよ、Redditユーザーであれば、アカウントのパスワードを変更した方が良いでしょう。
これは、ここ数ヶ月で発生したアプリ関連のセキュリティ侵害の唯一の事例ではありません。7月4日には、Timehopのシステムが約2時間にわたってセキュリティ保護されていない状態になりました。5月には、TeenSafeアプリにセキュリティ上の問題が発生しました。
この問題についてRedditから連絡がありましたか?下記からお知らせください。
