上个月,Reddit admin /u/KeyserSosa 披露该公司在今年 6 月遭遇数据泄露。 受影响的数据包括作为 Reddit Digest 程序一部分的用户电子邮件地址,以及 2007 年及之前的所有用户数据,包括用户名和密码。
攻击是通过破坏可以访问该站点的云托管和源代码存储库提供商的 Reddit 员工帐户进行的。 此攻击的一个关键漏洞是能够拦截通过 SMS 发送的两因素身份验证代码。 几个月来,行业领导者一直在集结取消 SMS 作为 2FA 的选项,而这种攻击进一步强化了淘汰该机制的必要性。
被入侵的系统包含备份数据、源代码和日志记录详细信息。 幸运的是,除了电子邮件地址之外,它们都不包含活跃的用户数据,并且这些地址仅适用于选择加入 Reddit Digest 计划并在今年 6 月 3 日至 17 日期间收到电子邮件的用户。 如果您恰好是在 2007 年或更早时间加入的极少数用户,那么您的所有帐户信息(包括您的密码)都会被盗。 希望您在过去 11 年的某个时间点更改了密码,但如果没有,您现在应该这样做。 如果您在任何其他网站上使用相同的电子邮件/密码组合,您也应该在这些网站上更改它。
用户如何保护自己免受公司可能导致类似数据泄露的不良安全实践的影响? 简单地交出您的数据并希望公司妥善保护它是不明智的,因此您需要采取某些措施来保护自己,而公司不会。
在数据泄露场景中降低您的个人风险的最有效方法是尽量减少您提供给在线提供商的数据量。 在网站上创建帐户时,只提供创建帐户所需的最少信息。 请注意,如果该网站遭到破坏,您在创建帐户时交出的任何数据都可能最终落入攻击者手中。
如果您当地的法律允许,如果您不再打算使用某个网站,请行使您要求删除您的数据的权利。 多亏了 GDPR,现在整个欧盟都可以做到这一点,但美国和其他地区的结果可能会有所不同。 根据这些规定,公司必须从其系统中永久删除您的数据,并在完成后给您书面确认。
如果您被困在一个网站需要大量信息的位置,并且您没有 GDPR 等法律保护,您可以仔细考虑您提供的数据的准确性。 如果您使用全名,或者如果您知道没有正当理由向他们提供您的电话号码,自动化系统可能并不关心,大多数在线表格将接受一串 0 或 9。 请记住,如果您不放心,您没有义务提供完整或准确的数据。
我们对 Reddit 缺乏安全监督感到失望,但事实是,许多公司都在走同样的路,让您的数据面临风险。 考虑使用这些建议来最大程度地减少您在发生数据泄露时的影响。
