Ameaça de segurança interna do Reddit: evidências sugerem que os funcionários da Reddit podem usar seus privilégios de acesso ao banco de dados Reddit para se engajarem em ataques tribais e hackear usuários

Vários usuários do Reddit ativos no subdireito r / btc foram pirateados em dezembro de 2017. Entre as vítimas estão um moderador de r / btc ( vítima 1 ) e um usuário que trabalha em anti-malware para viver ( vítima 2 ). Como resultado da pirataria 1, todo o subreddit r / btc foi comprometido por 15 a 30 minutos. mostrando aos visitantes uma mensagem redirecionando-os para o subreddit rival r / bitcoin. Outras vítimas incluem recipientes de dicas de dinheiro bitcoin em Reddit através de tippr ( vítima 3 , 4 , 5 , 6 e 7 ).

O que é Tippr?

Tippr é um bot de Reddit que permite que qualquer pessoa dote qualquer outro usuário em dinheiro de bitcoin. Para usar tippr, você deve enviar ao bot uma mensagem privada para fazer um depósito em uma carteira controlada por tippr. Em seguida, para orientar um usuário, você simplesmente responde um dos comentários do destinatário no reddit mencionando u / tippr e incluindo o valor que deseja dar. Então, se você quiser sugerir o usuário Alice $ 5, responda a um dos comentários de Alice com "u / tippr $ 5". O tippr bot responderá então ao comentário dizendo a Alice que recebeu US $ 5 em dinheiro bitcoin ( exemplo ). Agora, Alice deve criar uma carteira de dinheiro bitcoin e pode retirar esses $ 5 em dinheiro bitcoin, enviando o botão tippr a uma mensagem privada, incluindo o valor que ela deseja retirar e o endereço da carteira de dinheiro bitcoin. O bot provou ser extremamente bem sucedido em aumentar a adoção de dinheiro bitcoin, como a vítima 4 estados de mais de $ 50k foram gastos através do tippr bot no último mês sozinho. Uma vez que o bot alerta os destinatários em público quando eles recebem dicas, o atacante pode facilmente escolher as vítimas simplesmente verificando as postagens recentes por tippr no Reddit. O desenvolvedor desativou temporariamente a sua preferência enquanto aguarda uma investigação da Reddit sobre esses hacks.

BTC vs BCH Civil War

Outra informação que pode ser crucial para explicar as forças por trás desses ataques é a competição entre o legado bitcoin (btc) e o bitcoin cash (bch). O Bitcoin Cash é um garfo bitcoin criado em agosto de 2017, o que constitui uma ameaça existencial para o btc. O dinheiro da Bitcoin é tecnicamente superior ao bitcoin, porque permite transações muito mais rápidas (<10 min) e taxas de transação subcent, enquanto as transações de bitcoin (também conhecidas como btc, bitcoin core ou segwitcoin) levam dias para custar US $ 15. O subreddit / r / btc (assinantes de 140k) é a única grande comunidade bitcoin no reddit, onde as discussões sobre o legado bitcoin e dinheiro bitcoin são permitidas. O outro subreddit / r / bitcoin (mais de 600k assinantes) é muito mais conservador e proíbe os usuários discutindo o dinheiro bitcoin ou apontando as vantagens de usar dinheiro bitcoin ou reclamando as falhas do núcleo bitcoin. / r / btc (aberto) foi sujeito a múltiplos ataques de r / bitcoin (conservador) que culminou em um ataque de manipulação upvote. Verificou -se que r / bitcoin mods e Greg Maxwell (desenvolvedor principal de núcleo de bitcoína) estavam envolvidos. Também vale a pena ressaltar que a vítima 1 foi atacada no mesmo dia e hora em que o dinheiro de bitcoin estava fazendo alta de todos os tempos em US $ 4500 + por moeda e um máximo de todos os tempos contra o núcleo de bitcoína em 0,27.

Propriedades de ataque

Cada uma das vítimas primeiro recebeu um email de redefinição de senha da Reddit, depois alguns minutos depois, um e-mail confirmando que a senha havia sido alterada, embora o email nunca tenha sido aberto.

Meu provedor de e-mail é um provedor muito grande com um nome que todos conhecemos. O registro é fornecido e não houve atividade suspeita na minha conta de e-mail. Minha conta de e-mail também tem 2FA. Os e-mails enviados pelo reddit (primeiro "clique aqui para alterar sua senha" segunda "sua senha foi alterada) foram fechados na minha caixa de entrada. – vítima 3

Este relatório apenas descarta a possibilidade de que o ataque use um e-mail comprometido como vetor. Além disso, eu procurei pessoalmente todas as publicações públicas feitas pela vítima 3 no Reddit e ele nunca menciona seu e-mail em qualquer lugar. O Reddit também não fornece dicas sobre o email associado quando solicita uma reinicialização de senha para um determinado nome de usuário. A vítima 3 postou links para sua loja, mas a plataforma que ele usa também não fornece dicas sobre o email associado quando você solicita uma reinicialização da senha.

Conclusão 1: nenhum dos emails do usuário foi comprometido.

Outra possibilidade é que os hackers tenham recorreu a malware. As vítimas sucessivas incluíram um especialista anti-malware ( vítima 2 ). Ainda assim, o que realmente prova na minha opinião de que um malware não estava envolvido é este relatório da vítima 7, onde ele afirma que o ataque ocorreu apenas 2 horas depois de ter recebido uma dica em dinheiro de bitcoin através de uma receita de dinheiro de dinheiro de bitcoin.

Eu encontrei um comentário de ontem onde alguém me deu uma gorjeta em r / assustador e o hack aconteceu dentro de 2 horas da dica !! – vítima 7

Considerando que os ataques de malware levam tempo e exigem que a vítima tire uma isca, isso prova que nenhum malware estava envolvido. Esta afirmação também sugere fortemente que os destinatários do dinheiro bitcoin se tornem alvos.

Conclusão 2: nenhum malware foi usado porque os hacks eram muito rápidos para que um malware fosse envolvido. Um usuário de ponta aleatória (vítima 7) foi pirateado no prazo de 2 horas a partir do momento em que recebeu a dica de caixa de bitcoin.

O último cenário a considerar com esta evidência em questão é que pode haver uma exploração Reddit que permite que terceiros fiquem interceptando e-mails enviados do servidor Reddit para usuários. Considerando a gravidade de tal falha de segurança, se existisse, é improvável que quem conheça isso está usando a exploração para superar os saldos de caixa de bitcoin de menos de US $ 10. Além disso, isso também não explica como todas as vítimas estão diretamente envolvidas com dinheiro bitcoin ou são adotantes precoce recrutados através do bot Tippr.

Conclusão 3: Todas as vítimas estão diretamente envolvidas com dinheiro bitcoin ou são adotantes adiantados recrutados através do bot Tippr.

Por último, mas não menos importante, existe a possibilidade de que o software / algoritmo Reddit está usando para gerar links de redefinição de senha está desatualizado e seus valores de saída podem ser previstos. Em outras palavras, o hacker pode saber o link de redefinição de senha que o reddit criará para um nome de usuário com antecedência. Depois de olhar para o algoritmo no github embora vários codificadores no reddit descartaram essa possibilidade .

Diagnóstico

Depois de descartar todos esses cenários, podemos concluir que o hacker envia uma solicitação de redefinição de senha para redditar em nome da vítima e, em seguida, usa o link Reddit gera para redefinir a senha. Considerando que o hacker não poderia ter aprendido o link de reinicialização nem se espreitando nos e-mails das vítimas (nenhum malware envolvido, nenhum email comprometido) nem interceptando os e-mails do Reddit, existe apenas um outro lugar onde tais informações estão contidas e podem ser acessado: e-mails de saída da Reddit. Em outras palavras, esta é a caixa de saída da Reddit, onde todos os e-mails enviados dos servidores da Reddit são salvos. Apenas poucas pessoas têm acesso a esses e-mails. Agora, novamente, 2 opções são deixadas. Ou alguém com acesso ao banco de dados do Reddit foi pirateado e não está ciente de que suas credenciais estão sendo usadas para cortar contas de usuários. Ou um funcionário da Reddit está diretamente envolvido nisso e está quebrando a lei usando seus privilégios de acesso para se envolver em guerras turf. Se o jogador desonesto fosse uma terceira terceira anônima e externa, então eles definitivamente encontrariam um uso muito melhor para esse acesso do que ir depois de depósitos de tippr de menos de US $ 1. Portanto, a única explicação deixada para o que está acontecendo é que um funcionário da Reddit que simpatiza com o bitcoin core (btc) está usando seus privilégios de acesso para atacar os usuários / apoiadores de dinheiro do bitcoin.

Depois de várias postagens e queixas sobre a Reddit sobre esses hacks e a evidência acumulada que prova inequivocamente que um funcionário da Reddit está quebrando a lei, não houve nenhuma ação ou comentário da Reddit sobre esta questão.

Atualização 1 : seguindo este artigo, os administradores da Reddit finalmente entram na explicação de segurança de senha do usuário dizendo que eles "estão investigando".

Atualização 2 : http://blog.mailgun.com/mailgun-security-incident-and-important-customer-information/

BCH: 1AsXFv29DNMLGctzhhwjpHNt1dqaqe7pe