Nyheder
02 august 2018

Reddit hacket med to-faktor sms-angreb

En ukendt gerningsmand har fået read-only adgang til Reddits servere, og stak af med en backup af siden fra 2007 inklusiv krypterede passwords og email-adresser på datidens brugere.

En ukendt gerningsmand har fået read-only adgang til Reddits servere, og stak af med en backup af siden fra 2007 inklusiv krypterede passwords og email-adresser på datidens brugere.

Kodeordene, der var fra brugere oprettet mellem 2005 og 2007, var både hashed og salted, men Reddit nulstiller passwords på alle brugere, der har det samme password på siden i dag.

Det skriver brugeren KeyserSosa, en af Reddits stiftende udviklere, på subredditen for officielle annonceringer.

Gerningsmanden fik adgang til en Reddit administrators bruger ved at indhente personens to-faktor-godkendelse på sms, og kunne derfor logge på serverne uden at blive opdaget. Angrebet fandt sted mellem d. 14 og d. 18 juni, og blev først opdaget d. 19 juni.

SMS-to-faktor usikker for de store, godt for de små

Angrebet har igen pustet til debatten om, hvorvidt to-faktor-godkendelse på sms er sikkert nok. KeyserSosa skriver, at siden nu skifter til et token-baseret system, og at han anbefaler alle til at gå væk fra sms-systemer, der »ikke er så sikre, som vi regnede med,« skriver han.

Det fik bl.a. det anonyme sikkerheds-ikon SwiftOnSecurity til tasterne,, og sikkerhedsmanden Kevin Beaumont kommenterer på Twitter-tråden, at sms-godkendelse givetvis ikke er sikkert nok til Reddit som et af verdens største sociale netværk og mål for store hajer, men stadig er rigeligt sikkert til din lokale skomands mail-indbakke.

Læs mere >>

FacebookTwitterLinkedinMailPrint

Også interessant

Arrangør
  
Partner