Ein Mitarbeiteraccount des beliebten Portals Reddit wurde gehackt. Dabei konnte der Angreifer die Zwei-Faktor-Authentifizierung überwinden und gelang an ein altes Backup. Das Backup enthält umfangreiche, jedoch veraltete Daten aus dem Jahr 2007.
Ein Vertreter des Portals hat einen erfolgreichen Hackerangriff auf Accounts von Reddit-Mitarbeitern bei einem Hosting-Provider bestätigt. Dieser Einbruch gelang trotz der vorgeschriebenen Zwei-Faktor-Authentifizierung für Mitarbeiter.
Reddit Backup: alte, aber umfangreiche Daten
Das Backup enthielt eine Datenbank, in welcher auch Passwörter gespeichert waren. Diese seien kryptografisch mittels Hash und Salt geschützt gewesen. Die betroffenen Passwörter wurden zurückgesetzt und die Nutzer per Mail informiert.
Reddit informierte darüber, dass der Angreifer nur einen Lesezugriff auf die Daten hatte. Dies umfasst Quellcode, interne Konfigurations- und Logdaten, sowie andere Mitarbeiterdaten. Der Hacker hatte außerdem Zugriff auf den aktuellen E-Mail-Verteiler und kann bestimmte Nutzernamen Mail-Adressen zuordnen.
Zwei-Faktor-Authentifizierung (2FA) überwunden
Laut Reddit werde der Zugriff durch eine Zwei Faktor-Authentifizierung (2FA) abgesichert. Der zweite Faktor basierte hierbei auf einer SMS, welche jedoch nicht sicher genug zu sein scheint. Der „Hauptangriff“ bestand aus dem Abgreifen der SMS.
Zukünftig will man auf einen Token als zweiten Faktor setzen und empfehle dies auch allen anderen, welche bislang auf SMS setzen. Wie der Hacker Zugriff auf die SMS erhalten habe, wurde nicht weiter ausgeführt.
Bekannt ist jedoch, dass das Mobilfunk-Protokoll SS7, welches zum SMS-Versand genutzt wird, Sicherheitslücken aufweist. Eine andere plausible Erklärung wäre es, wenn der Hacker in den Besitz eines verlorenen oder gar gestohlenen Handys gekommen ist und so Zugriff auf die SMS hatte.
Reddit möchte Nutzer weiter informieren. Der Vorgang sei bereits an die Strafverfolgungsbehörden gemeldet wurden.