DATAINNBRUDD

Hackere brøt gjennom Reddits forsterkede innloggingssikkerhet

Erfaringen er at SMS-basert autentisering ikke er sikkert.

Det var for det meste eldre data hackerne fikk med seg fra Reddit.
Det var for det meste eldre data hackerne fikk med seg fra Reddit. Foto: Digi.no
2. aug. 2018 - 08:21

Det store diskusjonsnettstedet Reddit har blitt kompromittert av hackere som kom seg rundt nettstedets to-trinns autentisering.

Tjenesten skriver at en hacker brøt seg inn i Reddits systemer mellom 14. og 18. juni og fikk tilgang til en mengde brukerdata. Hackerne skal ifølge Reddit ha fått tilgang til alle data hos tjenesten fra året den ble opprettet i 2005 og fram til 2007. 

Mye informasjon

Dette omfatter blant annet en database med kontodetaljer som brukernavn, saltede og hashede passord, e-postadresser og alt innhold, inkludert private meldinger. Kildekode, interne logger og konfigurasjonsfiler skal også har vært blant dataene som angriperne fikk tilgang til.

Reddit beskriver angrepet som alvorlig. Tjenesten sender nå ut meldinger til brukere som er rammet og tilbakestiller passord på kontoer hvor innloggingsinformasjonen fremdeles kan være gyldig.

Anbefaler maskinvarebasert 2FA

Systemene som hackerne fikk tilgang til, var beskyttet av SMS-basert, to-trinns autentisering (2FA). Angrepet skjedde ifølge Reddit gjennom «SMS-oppfanging», altså at angriperne fikk tilgang til engangspassordet som sendes som SMS-melding ved innlogging.

På bakgrunn av dette oppfordrer Reddit nå brukere å benytte den maskinvarebaserte formen for 2FA. Slike omfatter blant annet fysiske sikkerhetsnøkler og kodebrikker.

Tjenesten samarbeider med politimyndigheter i etterforskningen av angrepet og har allerede fått bedre sikkerhetsløsninger på plass, deriblant mer bruk av kryptering og krav om maskinvarebasert 2FA for privilegert tilgang til Reddits systemer.

Flere detaljer kan du finne i tjenestens egen kunngjøring om hendelsen.

Les også: Google har hatt stor suksess med bruk av fysiske sikkerhetsnøkler (Ekstra) »

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.