Атаки увенчались успехом благодаря отсутствию на Reddit двухфакторной аутентификации.
Популярный сайт Reddit не в полной мере обеспечивает безопасность своих пользователей, уверен хакер, скрывающийся под псевдонимом BVM. В течение нескольких недель он со скуки взламывал случайные подфорумы Reddit, причиняя немалое беспокойство модераторам и сея панику среди пользователей. О своих «подвигах» хакер регулярно сообщал в Twitter, ради шутки предлагая всем желающим стать модераторами. BVM даже «потерял счет» взломанным страницам, однако заявил, что их насчитывается более 70.
В частности, хакер осуществил дефейс таких популярных подфорумов, как r/pics, r/Starwars, r/Marvel и r/gameofthrones. По заверению BVM, ему также удалось «увести» подфорумы, посвященные одному из крупнейших издательств комиксов DC Comics и производителю видеоигр Nintendo, однако его пароль был сброшен.
Хакер не раскрыл подробности о способе взлома, но отметил, что его атаки оказались успешными благодаря отсутствию на сайте двухфакторной аутентификации. BVM получал доступ к учетным данным модераторов (по его заверению, он не использовал брутфорс) и изменял стиль страниц. Один из модераторов, ставших жертвами хакера, признался в использовании одного и того же пароля из семи символов для нескольких учетных записей.5778 К? Пф! У нас градус знаний зашкаливает!