Reddit និយាយថា អ្នកវាយប្រហារឌីជីថលម្នាក់បញ្ចូលប្រព័ន្ធមួយចំនួនរបស់ខ្លួន និងចូលប្រើទិន្នន័យរបស់អ្នកប្រើប្រាស់នៅក្នុងឧប្បតិ្តវហេតុផ្នែកសន្តិសុខមួយ។ នៅថ្ងៃទី 1 ខែសីហា គេហទំព័រព័ត៌មានសង្គមបង្ហាញថា អ្នកវាយប្រហារលួចប្រើប្រាស់គណនីរបស់និយោជិកមួយចំនួនរបស់ខ្លួនជាមួយ cloud និងអ្នកផ្គត់ផ្គង់កូដប្រភពរបស់ខ្លួននៅចន្លោះថ្ងៃទី 14 ខែមិថុនា និងថ្ងៃទី 18 ខែមិថុនា។
Reddit ជឿជាក់ថា អ្នកទទួលខុសត្រូវទាំងនេះទទួលបានការចូលប្រើគណនីទាំងនោះដែលត្រូវបានការពារដោយការផ្ទៀងផ្ទាត់ពីរកត្តាដែលមានមូលដ្ឋានលើសារអេឡិចត្រូនិច (2FA) តាមរយៈការវាយប្រហារតាមរយៈការផ្ញើសារ។ បច្ចេកទេសនេះអនុញ្ញាតឱ្យសារ SMS ដែលមានលេខកូដ 2 លេខ ត្រូវប្ដូរទិសទៅឧបករណ៍ដែលស្ថិតក្រោមការគ្រប់គ្រងរបស់អ្នកវាយប្រហារ។ អ្នកដែលជ្រៀតចូល Reddit មិនទទួលបានសិទ្ធិក្នុងការការសរសេរចូលប្រព័ន្ធរបស់គេហទំព័រ។ ប៉ុន្តែពួកគេទទួលបានសិទ្ធិចូលអានទិន្នន័យរបស់អ្នកប្រើប្រាស់មួយចំនួន។ ព័ត៌មានបំណែកទាំងនោះរួមមានព័ត៌មានសម្គាល់អត្តសញ្ញាណ អាសយដ្ឋាន អ៊ីម៉ែល សារឯកជន និងទិន្នន័យអ្នកប្រើប្រាស់ទាំងអស់សម្រាប់វែបសាយរវាងឆ្នាំ 2005 និង ឧសភា ឆ្នាំ 2007 ។
ឧបទ្ទវហេតុសន្តិសុខក៏បង្ហាញពីការផ្ញើអ៊ីមែលដែលផ្ញើនៅចន្លោះថ្ងៃទី 3 ខែមិថុនា និង ថ្ងៃទី 17 ខែមិថុនា ដែលជាធាតុដែលភ្ជាប់ឈ្មោះអ្នកប្រើប្រាស់ទៅអាសយដ្ឋានអ៊ីមែលនោះ។ ឆ្លើយតបទៅនឹងហេតុការណ៍នេះ Reddit ជូនដំណឹងដល់ការអនុវត្តច្បាប់ទាក់ទងនឹងការចូលប្រើទិន្នន័យ និងនិយាយថា ខ្លួនកំពុងនៅក្នុងដំណើរការនៃការជូនដំណឹងដល់អ្នកប្រើដែលព័ត៌មានដែលអាចត្រូវសម្របសម្រួល។ វាក៏បង្ហាញផងដែរថា ខ្លួនអនុវត្តវិធានការសន្តិសុខបន្ថែមទៀតរួមទាំងការចុះបញ្ជីហ្មត់ចត់បន្ថែមទៀត ការអ៊ីនគ្រីប និង 2FA ដែលមានមូលដ្ឋានគ្រឹះ។
លោក Craig Young អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពកុំព្យូទ័រជាមួយក្រុមស្រាវជ្រាវភាពងាយរងគ្រោះ និងការទម្លាយទិន្នន័យរបស់ក្រុមហ៊ុន Tripwire និយាយថាវាជាគំនិតល្អដែលក្រុមហ៊ុន Reddit កំពុងផ្លាស់ប្តូរពីការផ្ទៀងផ្ទាត់ ការកត់ត្រាចូលសារជាអក្សរ។ ទោះបីជាមានទម្រង់នៃការផ្ទៀងផ្ទាត់ពហុកត្ដាជាការកែលម្អគួរឱ្យកត់សម្គាល់លើម៉ូដែលពាក្យសម្ងាត់សាមញ្ញក៏ដោយចំនុចផ្ទៀងផ្ទាត់ដែលមានមូលដ្ឋានលើសារអេឡិចត្រូនិចអាចត្រូវគេលួចជាមួយនឹងបច្ចេកទេសល្បីៗជាច្រើនដូចជា វិស្វកម្មសង្គម, មេរោគ malware ចល័ត ឬដោយការស្កេនដោយផ្ទាល់ និងសញ្ញាឌីជីថល ។ បច្ចេកទេសទូទៅបំផុត គឺភាគច្រើនប្រើទូរស័ព្ទស្មាតហ្វូនដែលធ្វើឱ្យដំណើរការនៃការលួចពាក្យសម្ងាត់ និងការទទួលបានលេខកូដផ្ទៀងផ្ទាត់ខណៈពេលដែលលេចចេញនូវសកម្មភាពពីអ្នកប្រើចុងក្រោយ ប៉ុន្តែវាហាក់ដូចជាមិនសូវ មាននៅក្នុងយុទ្ធនាការគោលដៅបែបនេះទេ។ លទ្ធភាពមួយផ្សេងទៀតគឺថាអ្នកវាយប្រហារធ្វើអាជីវកម្មពីភាពទន់ខ្សោយដែលគេស្គាល់នៅក្នុងប្រព័ន្ធ Signaling System No7 (SS7) Protocol ដែលជាប្រភពនៃការបញ្ជូនទូរស័ព្ទទំនើប ឬក៏ពួកគេគ្រាន់តែហៅអ្នកផ្តល់សេវាទូរស័ព្ទរបស់ជនរងគ្រោះ និងបញ្ចុះបញ្ចូលពួកគេឱ្យផ្ទេរលេខទូរស័ព្ទទៅកាន់ស៊ីមកាតថ្មី។ អ្នកវាយប្រហារនៅក្នុងតំបន់គ្របដណ្តប់ដូចគ្នានឹងជនរងគ្រោះអាចរារាំង និងបកប្រែសារ SMS ចេញដោយគ្រាន់តែចំណាយលុយពីររយដុល្លារប៉ុណ្ណោះ។ អត្ថន័យនៃរឿងនេះគឺថាការផ្ទៀងផ្ទាត់កត្តា 2 ដែលមានមូលដ្ឋានលើ SMS មិនគួរត្រូវចាត់ទុកថា “រឹងមាំ” នោះទេ៕
ប្រភព៖