Один из самых посещаемых сайтов в интернете, Reddit, официально сообщил о взломе. Неизвестные злоумышленники сумели обойти двухфакторную аутентификацию в аккаунтах нескольких сотрудников компании и похитили самые разные данные: от исходных кодов, до email-адресов пользователей.

2FA

ИБ-специалисты давно предупреждают о том, что схемы двухфакторной аутентификации, привязанные к телефону и одноразовым кодам в SMS-сообщениях, нельзя считать надежными. Так, еще в 2016 году Национальный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил интересный документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации является «недопустимым» и «небезопасным».

Небезопасность данной системы лишний раз демонстрирует и инцидент, произошедший с сотрудниками Reddit. Ключевым аспектом случившегося стал именно обход двухфакторной аутентификации: преступники каким-то образом сумели перехватить SMS-сообщения своих жертв. Фактически, это означает, что сначала преступники сумели взломать учетные записи служащих компании (как это произошло, не уточняется), а затем обошли и двухфакторную аутентификацию.

Как именно это было реализовано, представители Reddit вновь не уточняют, однако вариантов здесь может быть много. К примеру, атакующие могли эксплуатировать уязвимости в SS7, могли осуществить так называемый SIM swap, то есть перевыпустить SIM-карту жертвы, обратившись к оператору связи и применив социальную инженерию, или клонировать SIM.

Отмечу, что в последнее время о таких атаках на SIM-карты говорят и пишут очень много, особенно после того как в июле 2018 года журналисты Vice Motherboard обнародовали результаты расследования, доказывающего, что данную практику широко используют злоумышленники, что позволяет им «угонять» учетные записи и чужие личности десятками и сотнями.

Компрометация Reddit

Но вернемся к компрометации Reddit.
Сообщается, что инцидент имел место между 14 и 18 июля 2018 года, и проникновение обнаружили 19 июля. Злоумышленники скомпрометировали неназванное число сотрудников Reddit и проникли в «несколько систем», получив доступ к данным. Так, хакеры добрались до пользовательских email-адресов, а также бэкапа БД, датированного маем 2007 года. Так как Reddit был основан и заработал в 2005 году, эта БД содержала всю информацию за два года работы сайта, включая весь его контент и сообщения пользователей (в том числе личные), а также старые хешированные пароли и соли.

Представители компании утверждают, что преступники не имели доступа на запись на скомпрометированных серверах, а значит, не могли подменить или исказить какие-либо важные данные. Тем не менее, разработчики все равно усилили безопасность (к примеру, сменили ключи API) и мониторинг.

К сожалению, доступ на чтение у хакеров был, поэтому им удалось похитить не только вышеупомянутую БД, но и добраться до более свежих email-дайджестов, отправленным между 3 июня и 7 июля 2018 года. Эти подборки интересных и рекомендуемых постов содержат информацию о пользовательских именах и связанных с ними почтовых адресах.

Письмо с дайджестом

Также злоумышленники получили доступ к исходным кодам Reddit, внутренней документации, логам и рабочим файлам сотрудников. Однако никаких подробностей об этом пока не сообщается, так как хищение пользовательских данных более критично.

Точное количество скомпрометированных пользователей не называется, но компания уверяет, что всем пострадавшим будут направлены соответствующие уведомления. Также всех пользователей, регистрировавшихся на сайте до 2007 года, призывают поменять пароли, если они по каким-то причинам не делали этого больше 10 лет.

Как уже было сказано выше, в настоящее время разработчики Reddit работают над усилением мер безопасности и мониторинга, а также уже уведомили о случившемся правоохранительные органы. Небезопасность двухфакторной аутентификации посредством SMS в официальном сообщении прямо называют главной причиной произошедшего. Поэтому теперь сотрудники Reddit перейдут с SMS на использование 2FA-токенов.

Оставить мнение