Security Professionals - ipfw add deny all from eindgebruikers to any

Plotseling andere username op Reddit

13-03-2023, 09:58 door EenVraag, 7 reacties
Ik loop tegen een zeer raar probleem aan op Reddit.

Via google klik ik naar gevonden info op reddit en terwijl ik hier inlog heb ik ineens een andere ( beledigende) username.

(Ik was nog ingelogd in een ander tabblad.)

Ik heb er gelijk melding van gemaakt bij Reddit. Ik zag dat er nog een paar andere meldingen waren van Reddit gebruikers in de afgelopen maanden van het probleem dat de username zomaar veranderd.

Ik wil niet paranoide worden maar het 1e waar ik aan dacht was dat er hacking van binnenuit gaande zou kunnen zijn.

Hebben mensen hier identieke problemen meegemaakt op Reddit of op andere social media en op welke manier hebben jullie het opgelost?
Reacties (7)
13-03-2023, 10:22 door Anoniem
Ik gebruik/ken die site verder niet, maar wellicht is er een vulnerability waardoor je die verandering in feite zelf aanbrengt, bijvoorbeeld via XSS ofzo.
Zeker als ik hoor "ik was ingelogd op een ander tabblad" dan zou dat best eens de oorzaak kunnen zijn.
13-03-2023, 20:16 door Anoniem
Ik heb geen account op Reddit en kom er maar incidenteel op terecht als een zoekmachine of een link op een ander forum ernaar verwijst, dus veel weet ik er niet van, en dit probleem heb ik dan ook niet gehad.

Even naar resultaten van de zoekopdracht "reddit change account name" kijkend (heb je dat zelf geprobeerd?) krijg ik dit beeld:
• Als je je via je Google- of Apple-account aanmeldt krijg je een gegenereerde usernaam. Die kan je binnen 30 dagen wijzigen, eenmalig, en daarna nooit meer.
• Als je je met een e-mailadres hebt aangemeld heb je zelf een accountnaam gekozen die je nooit meer kan wijzigen.
• Je kan echter meerdere accounts aanmaken, dus als je met een andere naam verder wilt maak je simpelweg opnieuw een account aan. Je beschikt daar dan niet over de karmapunten van je andere account.

Als accountnamen niet gewijzigd kunnen worden, behalve in die eerste 30 dagen na aanmelden via Google of Apple, dan suggereert een wijziging van je accountnaam dat jij je op die manier hebt aangemeld, dat je nog in die 30 dagen zat, en dat je de gegenereerde accountnaam niet had gewijzigd. Is dat zo?

Als dat niet zo is dan moet er bij Reddit iets gebeuren wat helemaal niet hoort te kunnen gebeuren. Dan heeft Reddit een probleem op te lossen.

Maar als dat wel zo is dan zou het wel eens kunnen dat een ander op jouw account heeft kunnen inloggen. De vraag is dan hoe dat heeft kunnen gebeuren. Kan het zijn dat je je computer een keer niet gelockt alleen hebt gelaten op een plek waar anderen bij konden, terwijl je ingelogd was op Reddit, wellicht op je werk? Log je in met een makkelijk te raden wachtwoord? Of met een wachtwoord dat je ook voor andere accounts gebruikt waarvan er misschien een gecompromitteerd is? Heb je malware op je computer?

In mijn ogen is dit voorval een reden om je computer grondig op malware te controleren en om dat wachtwoord te wijzigen. Zorg ook dat je nooit hetzelfde wachtwoord gebruikt voor verschillende diensten. Een goede manier om sterke wachtwoorden te hebben zonder ze allemaal te moeten onthouden is het gebruik van een wachtwoordmanager, bijvoorbeeld KeePass of KeePassXC. Je hebt één masterwachtwoord (of wachtzin) te onthouden, en het programma kan onmogelijk te onthouden wachtwoorden voor je genereren voor allerlei diensten.
14-03-2023, 10:27 door EenVraag
Ik heb OAuth gebruikt. Maar ik kreeg een beledigende username iets als straight_fail_1234.

Ik zou dat niet als een gegenereerde username van reddit zien.
14-03-2023, 15:02 door Anoniem
Door EenVraag: Ik heb OAuth gebruikt. Maar ik kreeg een beledigende username iets als straight_fail_1234.

Ik zou dat niet als een gegenereerde username van reddit zien.

Hoezo is dit beledigend? Het zijn gewoon 2 totaal nietszeggende woorden uit de random generator.

Misschien dat je projecteert?

Reddit genereert namelijk 2 random woorden voor je als je een account registreert. Ik had 'target individualistic' 6606 en die heb ik gewoon gewijzigd in mijn gewone nick (die hou ik prive).

Je hebt misschien net zoals ik gewoon niet helemaal opgelet bij het aanmaken van dat account en bij een nieuwe login zag je wat reddit ervan gemaakt had?

-
Jeroen
14-03-2023, 15:18 door Anoniem
Door EenVraag: Ik heb OAuth gebruikt. Maar ik kreeg een beledigende username iets als straight_fail_1234.

Ik zou dat niet als een gegenereerde username van reddit zien.
Dit is precies het voorbeeld van een Reddit username. 3 delen met woorden en cijfers, gescheiden met streepjes.
14-03-2023, 16:07 door Erik van Straten - Bijgewerkt: 14-03-2023, 16:11
@EenVraag: jouw verhaal klopt niet met wat ik erover kan vinden.

Als ik o.a. https://www.alphr.com/change-username-reddit/ goed begrijp, krijg je, als je nog geen account hebt (of Reddit dat niet snapt), en "inlogt" met OAuth o.i.d., een nieuw account met een automatisch gegenereerde username (niet te verwarren met een displayname - die, als ik het goed begrijp, alleen zichtbaar is in jouw profile).

Het lijkt erop dat, als je al een account had, de naam daarvan niet is veranderd, maar dat er een tweede account bij is gemaakt.

Als ik het goed lees kun je zo'n automatisch gegenereerde username (zoals "straight_fail_1234") éénmalig wijzigen, maar dat moet binnen bepaalde tijd. Bovendien kun je die nieuwe naam natuurlijk niet vervangen door jouw oude username (waarschijnlijk een tijd lang niet nadat je dat oude account hebt verwijderd, en wellicht nooit - wat de kans op verwarring en opzettelijke "identiteitsfraude" zo klein mogelijk maakt).

Hoe je die ongewenste username kunt wijzigen (zowel met app als web-based) staat beschreven in genoemde pagina (ik heb dat niet getest - use at your own risk).
14-03-2023, 16:08 door Erik van Straten - Bijgewerkt: 14-03-2023, 16:08
sorry, dubbel
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.