一見無害な Twitter の迷惑者が、近日発売予定の大作ゲーム「バトルフィールド ワン」、マーベル スタジオ、スター ウォーズ、ゲーム オブ スローンズなどに関する 100 以上の Reddit サブレディットを開設したという。
写真やTIFU(今日はやってしまった)を含む、非常に人気のあるサブレディットも改ざんされた。
皮肉なことに、TehBVM (@TehBVM) というハンドルネームのハッカーが、キー操作で「How to Hack」というサブレディットを立ち上げました。
彼らの行為は、サブレディットのカバー画像や CSS を改変して、ハッカーが他のネットユーザーに向けて呼びかけている内容を表示するといった改ざんに限られているようだ。
プワネットをハックする https://t.co/Xiu7bdOG3O
— BVM (@TehBVM) 2016年5月7日
ハッカーはハッキングしたサブレディットのモデレーターアカウントも提供していたようだ。
それ以来、正当なモデレーターが自らのサブレディットの管理権を取り戻した。
r/StarWars: よかった、坊や。うぬぼれるなよ。
ユーザーのセキュリティ侵害やデータの漏洩につながるような重大なブラックハット活動は発生していないようで、今回の攻撃は、Reddit にはないセキュリティ機能である二要素認証の必要性について興味深い教訓を与えた。
Reddit は、2 要素認証を実装したい機能として挙げていますが、ベータ版はまだ作成されていません。
TehBVMはアカウントへの侵入経路を明らかにしなかったものの、ブルートフォース攻撃を否定した。ハッカーが侵害したパスワードをアカウントに対してテストし、脆弱な認証情報や使い回しされた認証情報を発見しようとしている可能性もある。
このハッカーは、二要素認証の欠如を理由にRedditを攻撃した他の悪質なハッカーたちの後を追っている。2013年以降、モデレーターのパスワードが脆弱だったり使い古されていたりしたため、毎年大規模なサブレディットが閉鎖されている。®
