IMAGEaHR0cHM6Ly8yNDhxbXMzbmhtdmwxNWQ0bmUxaTRweGwtd3BlbmdpbmUubmV0ZG5hLXNzbC5jb20vd3AtY29udGVudC91cGxvYWRzLzIwMTgvMDEvUmVkZGl0LWhwLTc2MHg0MDAuanBn
A rede social dedicada a discussões e notícias "Reddit" anunciou nesta quarta-feira (1º) que um hacker conseguiu acesso não autorizado a um sistema com diversos dados ligados ao site, entre eles uma cópia do banco de dados do ano de 2007 contendo endereços de e-mail e senhas (em formato de "hash") dos usuários. Informações da infraestrutura tecnológica da empresa, incluindo o código fonte do site e arquivos de configuração, também podem ter sido copiados.
O Reddit é o 5º site mais acessados dos Estados Unidos e o 8º no mundo, de acordo com a Alexa. O site é focado na língua inglesa, mas, como qualquer internauta pode criar um "subreddit" (nome dado às comunidades do site), a página também abriga grupos de discussões sobre o Brasil, onde internautas costumam escrever em português.
A invasão ocorreu entre os dias 14 e 18 de junho. Contas de funcionários do Reddit no provedor de nuvem foram acessadas apesar da adoção de autenticação em duas etapas usando enviados por SMS. Os administradores do site souberam do incidente no dia 19.
O nome do provedor de serviços do Reddit não foi informado, mas o comunicado destaca o entendimento de que autenticação de duas etapas com token é mais segura do que do que a autenticação por SMS. O Google, um dos principais prestadores de serviços em nuvem do mundo, anunciou na semana passada um token que inicialmente será distribuído para clientes desse serviço e depois vendido para qualquer consumidor interessado.
Como o invasor obteve apenas um banco de dados antigo do site, somente internautas que criaram contas no Reddit até maio de 2007 tiveram o "hash" das suas senhas expostas. O Reddit não informou a quantidade de usuários expostos nesse banco de dados.
O invasor também obteve acesso a cópias de e-mails de contendo resumos de notícias enviados aos usuários. Esses e-mails não revelaram informações pessoais dos usuários.
O Reddit afirmou que está em contato com as autoridades policiais para investigar o caso e que está enviando mensagens aos usuários que podem ter sido afetados pelo roubo de dados.
Vazamento expôs 'hash' de senhas: o que é?
O "hash" (ou "digest") é uma representação numérica da senha que, embora não revele a senha de imediato, pode revelar as senhas em um processo de tentativa e erro com intensos cálculos matemáticos. A velocidade desse processo varia conforme a fórmula de hash usada.
Segundo o Reddit, o site atualmente usa criptografia com bcrypt. Em 2007, data do banco de dados que foi roubado, a tecnologia era SHA-1 com "salt" -- boa para época, mas hoje considerada inadequada, o que significa que há uma chance de as senhas vazadas serem descobertas.
Por um período, o Reddit também chegou a armazenar senhas sem nenhuma proteção.
O homem certo no lugar errado, pode mudar o Mundo!