Reddit-hackers onderschepten 2-factor SMS

Reddit ontdekte op 19 juni dat er tussen 14 en 18 juni de gegevens van een aantal accounts van werknemers waren buitgemaakt. Deze accounts waren beveiligd met 2-factor authenticatie. “We hebben hierdoor geleerd dat 2-factor authenticatie niet zo sterk is als we hadden gehoopt, de belangrijkste aanval kwam door het onderscheppen van een SMS. We meldden dit om iedereen aan te moedigen om 2-factor authenticatie met een token te gebruiken”, schrijft Reddit op zijn website.

Het platform meldt niet hoe de hacker de SMS code heeft onderschept. Het zegt wel dat de hacker niet de telefoons van de werknemers heeft aangevallen. Twee manieren om een SMS te onderscheppen zijn de SIM-swap, waarbij een aanvaller via de telecomaanbieder een nieuwe SIM-kaart verkrijgt, of het doorschakelen van een telefoonnummer, waarbij een kwaadwillende zich voordoet als de klant bij de klantenservice en het nummer laat doorschakelen naar zijn eigen telefoon.

Reddit gebruikt daarom nu geen SMS meer voor de 2-factor beveiliging. Het platform raadt een authenticatieapp aan, zoals Google Authenticator of Authy.

Geen schrijftoegang

Hoewel Reddit de aanval serieus noemt, heeft de hacker geen schrijftoegang tot de systemen gehad. De aanvaller heeft kunnen meekijken in enkele systemen die backupgegevens, open source data en andere logbestanden bevatten. Er is geen andere Reddit-informatie buitgemaakt en het platform heeft stappen genomen om verdere toegang tot de systemen te blokkeren. Ook de monitor- en logsystemen zijn aangepast.

Omdat er ‘wat gebruikersdata’ is buitgemaakt, raadt Reddit gebruikers aan om hun gegevens aan te passen als hun gegevens tussen die verkregen data zit. Het gaat om gegevens uit een database die tussen 2005 en 2007 werd gebruikt met gebruikersnamen, hashed wachtwoorden en mailadressen. Deze gebruikers hebben een mail ontvangen. Daarnaast had de hacker toegang tot logboeken van e-maildigests die tussen 3 en 17 juni waren verstuurd. Van gebruikers die in die periode een digest hadden ontvangen en hun mailadres hebben ingevuld, kunnen ook de gegevens zijn gelekt. Reddit geeft instructies voor het verwijderen van deze data, indien gewenst.