Хакер со скуки взломал 70 подреддитов

Система безопасности Reddit отвратительна, сказал он


de20bb89f23d4fb6a6c891fe99d811d4.jpg

Хакер BVM говорит, что «потерял счёт» количеству подреддитов, которые он дефейснул за последние несколько дней. Среди трофеев — более 70 тематических сообществ Reddit, в том числе довольно популярные /r/pics (11,2 млн подписчиков), /r/starwars, /r/gameofthrones и многие другие.

Взлом стал возможен из-за отвратительной системы безопасности Reddit и отсутствия двухфакторной аутентификации, объяснил хакер. Но причину своих действий назвать не смог: «На самом деле, никаких причин нет. Просто скука. Это не какое-то трудное достижение или что-то такое, я просто убивал время», — сказал BVM.
BVM не сообщил подробности, каким способом ему удалось завладеть 70 подреддитами. Он только признал, что зашёл под аккаунтами модераторов и заменил оригинальные стили CSS на своё сообщение.

a9eb8cd8eac940ebbd433b6078e8ff3b.png

Скорее всего, хакер использовал какой-то низкотехнологичный трюк, чтобы узнать пароли модераторов. Один из модераторов признался, что у него был пароль из семи символов, который он использовал и на других сайтах. Так что BVM мог найти пароль модератора в одной из парольных баз.

Хакер говорит, что специально не выбирал подреддиты, а просто атаковал или самые популярные по рейтингу, или любые случайные, которые попались под руку.

Администрация Reddit быстро среагировала на инцидент и восстановила изначальный вид страниц. BVM признал, что техподдержка у них работает очень оперативно.

Возможно, сайту Reddit пора вводить программу выплаты вознаграждений за найденные уязвимости, как это сделал Pornhub. Тогда и для скучающих хакеров найдётся занятие поинтереснее.

© Geektimes