Onlineportal Reddit gehackt
Heise online hat in seinen Security-News gemeldet, dass die Social News Domain Reddit gehackt wurde. Der Zugriff erfolgte auf Accounts von Reddit-Mitarbeitern bei einem Hosting-Provider. Nach Angaben des Portals hat der Hacker dabei die als sicher geltende Zwei-Faktor-Authentifizierung überwunden.
Ein Sprecher von Reddit hat die Öffentlichkeit informiert, dass bei dem Hackerangriff ein altes Backup mit Datensätzen von Nutzern erbeutet wurden, die aus den Jahren vor 2007 stammen. In der Datenbank befanden sich auch kryptografisch (Hash plus Salt) geschützte Passwörter von ehemaligen Nutzern. Der oder die Angreifer hatten laut Portal lediglich einen Lesezugriff, konnten aber auch Quellcode, interne Log- und Konfigurationsdaten sowie andere Mitarbeiterdaten einsehen. Zusätzlich erlangten die Hacker Zugriff auf einen aktuellen E-Mail-Verteiler, über den bestimmte Nutzernamen E-Mail-Adressen zugeordnet werden könnte.
Reddit hat Strafanzeige gegen Unbekannt gestellt, die Passwörter zurückgesetzt und betroffene Nutzer per E-Mail informiert. Sollte es zu unautorisierten Zugriffen auf Daten , die zu aktuellen Passwörtern führen, kommen, will Reddit alle Nutzer umgehend informieren.
Zwei-Faktor-Authentifizierung geknackt
IT-Experten sehen mit Besorgnis, dass der oder die Hacker die Zwei-Faktor-Authentifizierung (2FA) überwinden konnten und so in einen geschützten Datenbereich gelangten. Reddit gab an, dass der zweite Faktor des Schutzsystems SMS-basiert war, was „ …als Absicherung des Einloggens nicht sicher genug sei, denn „der hauptsächliche Teil des Angriff erfolgte über ein Abgreifen der SMS“.
Aus diesem Grund setzt Reddit ab sofort auf einen zweiten Faktor aus einem Token. Der erste Faktor besteht weiterhin aus einem Passwort, was bei dieser Authentifizierung obligatorisch ist. Der Sprecher von Reddit forderte Portale auf, die mit SMS Authentifizierung arbeiten, diese Praxis zu überdenken, da dieses Methode anscheinend zu anfällig für Hackerangriffe sei. Einzelheiten zum Ablauf des Angriffs gab Reddit bisher nicht. Das Portal äußerte sich auch nicht dazu, wie die SMS abgefangen werden konnten,geben aber zu, dass Sicherheitslücken im Protokollsuite SS7 (Signalling System 7) bereits seit längerer Zeit bekannt sind.