Reddit-Hack: 2FA von Mitarbeitern ausgehebelt

Publiziert am 2. August 2018 von Günter Born

Es sind mal wieder äußerst unschöne Nachrichten, die von der Plattform reddit.com zu vermelden sind. Hackern ist es scheinbar gelungen, die Zwei-Faktor-Authentifizierung (2FA) von reddit-Mitarbeitern auszuhebeln und an Benutzerdaten heranzukommen.

Anzeige

In einer Meldung (We had a security incident) mussten die Betreiber der Plattform reddit.com eingestehen, dass sie gehackt wurden. Dem Hacker ist es gelungen, Zugriff auf einige der Systeme von Reddit zu bekommen und auf einige Benutzerdaten zuzugreifen. Darunter sind auch einige aktuelle E-Mail-Adressen sowie ein Datenbank-Backup aus 2007, welches salted und hashed Passwörter enthält.

Zwei-Faktor-Authentifizierung (2FA) ausgehebelt

Am 19. Juni erfuhren die Betreiber von reddit.com, dass ein Angreifer zwischen dem 14. und 18. Juni 2018 einige Konten von Mitarbeitern bei den von reddit.com verwendeten Cloud- und Quellcode-Hosting-Providern kompromittiert hat. Die Leute von reddit.com hatten zwar bereits ihre primären Zugangspunkte für Code und Infrastruktur durch eine Zwei-Faktor-Authentifizierung (2FA) abgesichert.

Aber das Team musste lernen, dass die SMS-basierte Zwei-Faktor-Authentifizierung nicht annähernd so sicher ist, wie gehofft. Der Hacker führte wohl seinen Hauptangriff per SMS-Abfrage aus und konnte so die 2FA aushebeln. Trotzdem ermutigen die Leute von reddit, die Nutzer, auf eine Token-basierte 2FA umzusteigen.

Was konnte der Hacker?

Nach einer Analyse des reddit.com-Teams erhielt der Angreifer keinen Schreibzugriff auf Reddit-Systeme. Das Ganze beschränkte sich auf Lesezugriffe auf einige Systeme, die Backup-Daten, Quellcode und andere Protokolle enthielten. Der (oder die) Angreifer waren nicht in der Lage, Reddit-Informationen zu ändern. reddit.com hat seit dem Ereignis Schritte unternommen, um alle Produktionsgeheimnisse und API-Schlüssel zu sperren bzw. zu aktualisieren. Zudem will man die Protokollierungs- und Überwachungssysteme verbessert haben.

Welche Informationen wurden abgegriffen?

Das reddit.com-Team arbeitet seit dem 19. Juni mit seinen Cloud- und Quellcode-Hosting-Providern zusammen, um herauszufinden, auf welche Daten der Angreifer zugegriffen hat. Hier nun die bisherige Übersicht:

  • Alle Reddit-Daten von 2007 und früher, einschließlich Kontoinformationen und E-Mail-Adressen. Der Angreifer rief eine vollständige Kopie eines alten Datenbank-Backups mit sehr frühen Reddit-Benutzerdaten – vom Start der Website im Jahr 2005 bis Mai 2007, ab. Die wichtigsten Daten in diesem Backup sind Kontoinformationen (Benutzername + gesalzene Hash-Passwörter), E-Mail-Adressen und alle Inhalte (meist öffentliche, aber auch private Nachrichten) von damals. Wer sich nach 2007 für Reddit angemeldet hat, ist hier sicher. Reddit benachrichtigt betroffene Benutzer und setzt die Passwörter betroffener Konten zurück, bei denen die Zugangsdaten noch gültig sein könnten.
  • Von Reddit im Juni 2018 verschickte E-Mail-Zusammenfassungen. Worauf zugegriffen wurde: Protokolle mit den E-Mail-Vorschlägen (Digests), die zwischen dem 3. und 17. Juni 2018 verschickt wurden. Die Protokolle enthalten die Emails selbst und verbinden einen Benutzernamen mit der zugehörigen E-Mail-Adresse. Zudem enthalten sie Vorschläge von ausgewählten populären und sicheren Subreddits, die der Benutzer abonniert hat. Wer keine E-Mail-Adresse mit seinem Konto verknüpft hat oder die Benutzereinstellung "E-Mail-Digests" in diesem Zeitraum deaktiviert hatte, ist nicht betroffen. Andernfalls suchen Sie in Ihrem E-Mail-Posteingang nach E-Mails von noreply@redditmail.com zwischen dem 3. und 17. Juni 2018.

reddit.com empfiehlt seinen Benutzern nach E-Mail-Benachrichtigungen, die an Betroffene gingen, Ausschau zu halten. Wenn Zugangsdaten betroffen waren und die Möglichkeit besteht, dass sich die Zugangsdaten auf das Passwort beziehen, das derzeit bei Reddit verwendet wurde, ist das Reddit-Kennwort zurückzusetzen (das sollte weitgehen durch reddit.com erfolgen). Wer eine Mail von reddit zum Passwortwechsel erhält, sollte schauen, ob diese Anmeldedaten auch für andere Konten verwendet werden – und diese dann ggf. ändern. Weitere Details sind der reddit.com-Meldung zu entnehmen.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.