Nutzerdaten kopiert: Reddit-Einbruch gelingt durch Abfangen von 2FA-SMS

Angreifern ist es gelungen, Nutzerdaten, Nachrichten sowie alte Passwort-Hashes aus einem Backup der Webseite Reddit zu kopieren. Offenbar reichte das Abfangen einer SMS zur Zwei-Faktor-Authentifizierung zum Eindringen in die Systeme.

Artikel veröffentlicht am ,
Die Betreiber der Social-News-Seite Reddit melden einen Einbruch in ihre Systeme.
Die Betreiber der Social-News-Seite Reddit melden einen Einbruch in ihre Systeme. (Bild: Robert Galbraith, Reuters)

"Ein Angreifer ist in die Systeme von Reddit eingedrungen und erhielt Zugriff auf Nutzerdaten samt aktueller E-Mail-Adressen und einem Datenbank-Backup von 2007 mit alten, gesalzenen, gehashten Passwörtern", schreibt Reddit in einer Ankündigung. Der Angriff erfolgte demnach Mitte Juni dieses Jahres, der Einbruch gelang offenbar aufgrund einer schwachen Zwei-Faktor-Authentifizierung (2FA). Mittlerweile untersuchen Strafverfolgungsbehörden den Vorfall.

Stellenmarkt
  1. Softwareentwickler:in Java / Selenium / Cloud
    HUK-COBURG Versicherungsgruppe, Coburg
  2. Business Process Manager (m/w/d)
    Richter-Helm BioLogics GmbH & Co. KG, Bovenau
Detailsuche

Laut der Ankündigung des Unternehmens seien sämtliche Zugänge zu Code und Infrastruktur durch 2FA abgesichert gewesen. Die Betreiber mussten jedoch erfahren "dass SMS-basierte Authentifizierung nicht annähernd so sicher ist, wie wir gehofft hatten, denn der Hauptangriff erfolgte über das Abfangen der SMS". Der Angreifer konnte somit einige "wenige" der Zugänge der Reddit-Angestellten kompromittieren.

Dass insbesondere SMS und die zugrundeliegende Mobilfunk- und Telefontechnik etwa mit dem SS7-Protokollstapel nicht besonders sicher ist, ist jedoch keine neue Information. So demonstrierten Forscher in den vergangenen Jahren immer wieder Angriffe auf SS7 oder verwiesen auf die Möglichkeit, SMS abzufangen. Kriminelle konnte darüber hinaus schon durch das Abfangen der mTAN-SMS Bankkonten leer räumen.

Angreifer kopiert Nutzerdaten

Reddit versichert, dass der Angreifer zu keinem Zeitpunkt Schreibzugriff erlangen konnte und die Systeme damit nicht verändert werden konnten. Natürlich reicht aber auch ein Lesezugriff aus, um Nutzerdaten zu kopieren. Konkret betrifft dies demnach ein Backup sämtlicher Daten vom Start der Seite im Jahr 2005 bis zum Mai 2007. Dazu gehören der verwendete Nutzername sowie das gesalzene und gehashte Passwort, die E-Mail-Adresse sowie sämtliche Inhalte bezüglich öffentlicher wie privater Nachrichten. Reddit will die jeweils betroffenen Nutzer informieren und das Passwort zurücksetzen, falls das alte immer noch in Benutzung sein könnte.

Golem Akademie
  1. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
    6.–10. Dezember 2021, Virtuell
  2. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
Weitere IT-Trainings

Der Angreifer hatte zudem Zugriff auf die Logs der sogenannten E-Mail-Digests aus dem Juni 2018. Diese Information verknüpft die Nutzernamen mit E-Mail-Adressen und enthält eine Liste von vorgeschlagenen Themen, die die Nutzer interessieren könnten. Nutzer, die keine E-Mail-Adresse hinterlegen oder die Funktion explizit deaktiviert haben, seien nicht betroffen.

Darüber hinaus hatte der Angreifer Zugriff auf die internen Storage-Systeme, den Quellcode von Reddit, weitere Log- und Konfigurationsdateien sowie Arbeitsunterlagen der Mitarbeiter.

Reddit will den Zugriff auf seine Systeme künftig besser überwachen und für die 2FA auf sogenannte Token, also Hardwareschlüssel, setzen. Nutzer fordert das Unternehmen dazu auf, zu überlegen, ob sie das bei Reddit vor elf Jahren genutzte Passwort noch woanders nutzen und dies entsprechend zu ändern. Den Nutzern empfiehlt der Betreiber darüber hinaus ebenfalls auf eine 2FA zum Login zu setzen, was für Reddit-Nutzer über eine Authenticator-App umgesetzt wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


My1 03. Aug 2018

ich finde es aber schon blöd dass man nicht bspw sagen kann dass mal i-wann neue sims...

My1 03. Aug 2018

Wenns irgendwann mal ne Gratis BerCA für Pseudonym und/oder altersprüfung ja/nein gibt...

chefin 02. Aug 2018

Admins mit Nur Lese rechten? Also da vergeigst du dich aber gehörig. Die haben ein Nur...

chefin 02. Aug 2018

woher weist du welche Nummer zu welchem Dienst gehört? Du hast irgendwo Daten erbeutet...



Aktuell auf der Startseite von Golem.de
Resident Evil (1996)
Grauenhaft gut

Resident Evil zeigte vor 25 Jahren, wie Horror im Videospiel auszusehen hat. Wir schauen uns den Klassiker im Golem retro_ an.

Resident Evil (1996): Grauenhaft gut
Artikel
  1. Streaming: Chromecast erhält spezielle Youtube-Fernbedienung
    Streaming
    Chromecast erhält spezielle Youtube-Fernbedienung

    Die Steuerung von Youtube auf einem Chromecast soll mit einer neuen Funktion deutlich komfortabler werden.

  2. Studie: Kinder erhalten Smartphone meist zwischen 6 und 11 Jahren
    Studie
    Kinder erhalten Smartphone meist zwischen 6 und 11 Jahren

    Nur eine sehr geringe Minderheit der Eltern will ihrem Kind erst mit 15 Jahren ein Smartphone zur Verfügung stellen.

  3. Google: Kopfhörer verlieren Google-Assistant-Support auf iPhones
    Google
    Kopfhörer verlieren Google-Assistant-Support auf iPhones

    Wer Google Assistant am Kopfhörer benutzen will, ist künftig auf ein Android-Gerät angewiesen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Samsung Portable SSD T5 1 TB 84€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • EPOS Sennheiser GSP 670 199€ • EK Water Blocks Elite Aurum 360 D-RGB All in One 205,89€ • KFA2 Geforce RTX 3070 OC 8 GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) [Werbung]
    •  /