Reddit hacket med to-faktor sms-angreb

Illustration: bigtunaonline, BigStock
Internettets forside har lækket en gammel backup af siden, email-adresser og krypterede passwords efter et angreb på sidens to-faktor-godkendelse over sms.

En ukendt gerningsmand har fået read-only adgang til Reddits servere, og stak af med en backup af siden fra 2007 inklusiv krypterede passwords og email-adresser på datidens brugere.

Kodeordene, der var fra brugere oprettet mellem 2005 og 2007, var både hashed og salted, men Reddit nulstiller passwords på alle brugere, der har det samme password på siden i dag.

Det skriver brugeren KeyserSosa, en af Reddits stiftende udviklere, på subredditen for officielle annonceringer.

Gerningsmanden fik adgang til en Reddit administrators bruger ved at indhente personens to-faktor-godkendelse på sms, og kunne derfor logge på serverne uden at blive opdaget. Angrebet fandt sted mellem d. 14 og d. 18 juni, og blev først opdaget d. 19 juni.

SMS-to-faktor usikker for de store, godt for de små

Angrebet har igen pustet til debatten om, hvorvidt to-faktor-godkendelse på sms er sikkert nok. KeyserSosa skriver, at siden nu skifter til et token-baseret system, og at han anbefaler alle til at gå væk fra sms-systemer, der »ikke er så sikre, som vi regnede med,« skriver han.

Det fik bl.a. det anonyme sikkerheds-ikon SwiftOnSecurity til tasterne,, og sikkerhedsmanden Kevin Beaumont kommenterer på Twitter-tråden, at sms-godkendelse givetvis ikke er sikkert nok til Reddit som et af verdens største sociale netværk og mål for store hajer, men stadig er rigeligt sikkert til din lokale skomands mail-indbakke.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
Allan Kristensen

"Internettets forside" kommer af reddits slogan "The frontpage of the internet", så det er en lidt indforstået sprogblomst fra journalisten.

Reddit kan i øvrigt findes her: http://reddit.com

.. Og lidt dybere information om hacket:
https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security...

.. Og hvis man ligesom mig ikke helt forstod hvorfor SMS 2-factor-auth var et problem, er der en 2 år gammel artikel om problematikken her:
https://securityintelligence.com/whats-wrong-with-sms-authentication-two...

Det korte af det lange er, at telefoner i dag kan angribes med malware som sniffer engangskoderne. En lidt mere målrettet hacker vil også kunne snyde sig til dem via ukrypterede sms'er, social engineering, etc..

Ole Madsen

Det korte af det lange er, at telefoner i dag kan angribes med malware som sniffer engangskoderne. En lidt mere målrettet hacker vil også kunne snyde sig til dem via ukrypterede sms'er, social engineering, etc..

Jeg ved ikke om det har været tilfældet her (de har vist ikke sagt præcis hvordan det skete), men problemet med SMS er lige så meget at de underliggende protokoller ikke er særligt sikre, og at det er alt for nemt at narre teleudbydere (måske kun i USA?) til at udstede nye simkort med samme nummer. Her er en anden (også 2 år gammel) artikel: https://www.wired.com/2016/06/hey-stop-using-texts-two-factor-authentica...

Kjeld Flarup Christensen

Den store fejl er at data sikkert har lagt i skyen, og at adgangen er sket via skyen.
Når man skal på den slags systemer med administrator rettigheder, bør man helst sidde bag samme firewall som datacentret. Alternativt skal der være en VPN løsning, meget gerne IP låst og med certifikater, således at adgang kun kan ske fra bestemte PC'er.

Systemadministration fra en tilfældig PC på nettet er bare en no go!

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017