Amenaza de seguridad interna de Reddit: La evidencia sugiere que los empleados de Reddit pueden usar sus privilegios de acceso a la base de datos Reddit para participar en ataques tribales y piratear usuarios.

Varios usuarios de Reddit activos en el subreddit r / btc fueron pirateados en diciembre de 2017. Entre las víctimas hay un moderador de r / btc ( víctima 1 ) y un usuario que trabaja en anti-malware para ganarse la vida ( víctima 2 ). Como resultado de la víctima 1 hack, todo el subreddit r / btc se vio comprometido durante 15-30 min. mostrando a los visitantes un mensaje redirigiéndolos al subreddit rival r / bitcoin. Otras víctimas incluyen destinatarios de consejos de efectivo de bitcoin en reddit a través de tippr ( víctimas 3 , 4 , 5 , 6 y 7 ).

¿Qué es Tippr?

Tippr es un robot de Reddit que permite a cualquier persona dar propina a cualquier otro usuario en efectivo de bitcoin. Para usar tippr, debes enviar al bot un mensaje privado para hacer un depósito en una billetera controlada por tippr. Luego, para dar propina a un usuario, simplemente responda uno de los comentarios del destinatario en reddit mencionando u / tippr e incluyendo la cantidad que desea dar propina. Por lo tanto, si desea recomendarle al usuario Alice $ 5, responda uno de los comentarios de Alice con "u / tippr $ 5". El tippr bot responderá el comentario diciéndole a Alice que ha recibido $ 5 en efectivo de bitcoin ( ejemplo ). Ahora Alice debe crear una billetera de efectivo de bitcoin y puede retirar estos $ 5 en efectivo de bitcoin enviando un mensaje privado al tippr bot que incluya la cantidad que desea retirar y su dirección de billetera de efectivo de bitcoin. El robot ha demostrado ser extremadamente exitoso en aumentar la adopción del efectivo de bitcoin, ya que la víctima 4 estados con más de $ 50k se han gastado a través del bot de propina en el último mes. Dado que el robot alerta a los destinatarios en público cuando reciben consejos, el atacante puede elegir fácilmente a las víctimas simplemente revisando las publicaciones recientes de tippr en Reddit. El desarrollador ha desactivado temporalmente tippr mientras esperaba una investigación de Reddit sobre estos hacks.

BTC vs BCH Guerra civil

Otra información que puede ser crucial para explicar las fuerzas detrás de estos ataques es la competencia entre el legado de bitcoin (btc) y el efectivo de bitcoin (bch). El efectivo de Bitcoin es un tenedor bitcoin creado en agosto de 2017 que constituye una amenaza existencial para btc. El efectivo de Bitcoin es técnicamente superior al otro bitcoin porque permite transacciones mucho más rápidas (<10 min) y tarifas de transacción inferiores, mientras que las transacciones heredadas de bitcoin (también conocidas como btc, bitcoin core o segwitcoin) tardan días en costar $ 15. El subreddit / r / btc (140k suscriptores) es la única comunidad importante de bitcoin en reddit donde se permiten las discusiones sobre el bitcoin legacy y el bitcoin cash. El otro subreddit / r / bitcoin (más de 600k suscriptores) es mucho más conservador y prohíbe a los usuarios discutir el efectivo de bitcoin o señalar las ventajas de usar efectivo de bitcoin o quejarse de los defectos del núcleo de bitcoin. / r / btc (abierto) ha sido objeto de múltiples ataques de r / bitcoin (conservador) que culminó en un ataque de manipulación de vórtice. Se ha demostrado que los mods de r / bitcoin y Greg Maxwell (desarrollador principal del núcleo de bitcoin) estaban involucrados. También vale la pena señalar que Victim 1 fue atacada el mismo día y hora que el efectivo de bitcoin estaba haciendo un máximo histórico de $ 4500 + por moneda y un máximo histórico contra el núcleo de bitcoin en 0.27.

Propiedades de ataque

Cada una de las víctimas recibió por primera vez un correo electrónico de restablecimiento de contraseña de Reddit, y luego unos minutos después un correo electrónico confirmando que la contraseña había sido cambiada aunque el correo electrónico nunca se abrió.

mi proveedor de correo electrónico es un proveedor muy grande con un nombre que todos conocemos. Se proporciona el registro y no hubo actividad sospechosa en mi cuenta de correo electrónico. Mi cuenta de correo electrónico también tiene 2FA. Los correos electrónicos enviados por reddit (el primero "haga clic aquí para cambiar su contraseña", el segundo "se ha cambiado su contraseña") no se abrieron en mi bandeja de entrada. – víctima 3

Solo este informe descarta la posibilidad de que el ataque utilizara un correo electrónico comprometido como vector. Además, busqué personalmente todas las publicaciones públicas hechas por la víctima 3 en reddit y nunca menciona su correo electrónico en ninguna parte. Reddit tampoco da pistas sobre el correo electrónico asociado cuando solicita un restablecimiento de contraseña para un determinado nombre de usuario. Victim 3 ha publicado enlaces a su tienda, pero la plataforma que utiliza tampoco da pistas sobre el correo electrónico asociado cuando solicita un restablecimiento de contraseña.

Conclusión 1: ninguno de los correos electrónicos de los usuarios se vieron comprometidos.

Otra posibilidad es que los hackers hayan recurrido al malware. Las víctimas sucesivas, sin embargo, incluyeron un experto en anti-malware ( víctima 2 ). Aún así, lo que realmente prueba en mi opinión que no se trataba de un malware es este informe de la víctima 7, donde afirma que el ataque ocurrió solo 2 horas después de haber recibido una propina en efectivo de Bitcoin a través de un bitpr bot de cash bitcoin.

Encontré un comentario de ayer en el que alguien me había avisado que era raro y el ataque ocurrió a las 2 horas del aviso. – víctima 7

Teniendo en cuenta que los ataques de malware toman tiempo y requieren que la víctima muerda el anzuelo, esto prueba que no hubo malware involucrado. Esta afirmación también sugiere fuertemente que los destinatarios de efectivo de bitcoin se conviertan en objetivos.

Conclusión 2: no se utilizó malware porque los ataques son demasiado rápidos para que se involucre un malware. Un usuario con una propina aleatoria (víctima 7) fue pirateado dentro de las 2 horas desde el momento en que recibió la propina en efectivo de bitcoin.

El último escenario a considerar con esta evidencia es que podría haber un exploit de Reddit que permita a terceros interceptar los correos electrónicos enviados desde el servidor de Reddit a los usuarios. Teniendo en cuenta la gravedad de dicha falla de seguridad, si existiera, es poco probable que quien tenga conocimiento de ella esté utilizando el exploit para ir tras los saldos de efectivo de Bitcoin de menos de $ 10. Además, esto tampoco explica cómo todas las víctimas están directamente involucradas con el efectivo de bitcoin o son los primeros usuarios reclutados a través del bot de Tippr.

Conclusión 3: Todas las víctimas están directamente involucradas con el efectivo de bitcoin o son los primeros usuarios reclutados a través del bot de Tippr.

Por último, pero no menos importante, existe la posibilidad de que el software / algoritmo que Reddit está utilizando para generar enlaces de restablecimiento de contraseña esté desactualizado y sus valores de salida puedan predecirse. En otras palabras, el hacker podría saber el enlace de restablecimiento de contraseña que reddit va a crear para un nombre de usuario por adelantado. Después de observar el algoritmo en github, varios codificadores de reddit descartaron esta posibilidad .

Diagnóstico

Después de descartar todos estos escenarios, podemos concluir que el pirata informático envía una solicitud de restablecimiento de contraseña para redimir en nombre de la víctima y luego utiliza el enlace que Reddit genera para restablecer la contraseña. Teniendo en cuenta que el hacker no pudo haber aprendido el enlace de reinicio al acecho en los correos electrónicos de las víctimas (no involucró malware, no comprometió los correos electrónicos) ni interceptando los correos electrónicos de Reddit, solo hay otro lugar donde dicha información está contenida y puede ser accedido: los correos salientes de Reddit. En otras palabras, esta es la bandeja de salida de Reddit, donde se guardan todos los correos electrónicos enviados desde los servidores de Reddit. Solo algunas personas tienen acceso a estos correos electrónicos. Ahora, de nuevo, quedan 2 opciones. O bien alguien con acceso a la base de datos de Reddit ha sido pirateado y no está al tanto de que sus credenciales se estén utilizando para hackear cuentas de usuarios. O un empleado de Reddit está directamente involucrado en esto y está infringiendo la ley al usar sus privilegios de acceso para participar en guerras territoriales. Si el jugador deshonesto fuera una tercera parte anónima y externa, definitivamente encontrarían un uso mucho mejor para dicho acceso que buscar depósitos de menos de $ 1. Por lo tanto, la única explicación que queda de lo que está sucediendo es que un empleado de Reddit que simpatiza con bitcoin core (btc) está utilizando sus privilegios de acceso para atacar a los usuarios / simpatizantes de efectivo de bitcoin.

Después de varios mensajes y quejas en Reddit sobre estos hacks y la evidencia acumulada que demuestra inequívocamente que un empleado de Reddit está infringiendo la ley, no ha habido ninguna acción o comentario de parte de Reddit sobre este tema.

Actualización 1 : después de este artículo, los administradores de Reddit finalmente intervienen en el ataque de seguridad de la contraseña del usuario diciendo que lo han "estado investigando".

Actualización 2 : http://blog.mailgun.com/mailgun-security-incident-and-important-customer-information/

BCH: 1AsXFv29DNMLGctzhhwjpHNt1dqaqe7pe