Abo
  • Services:

Nutzerdaten kopiert: Reddit-Einbruch gelingt durch Abfangen von 2FA-SMS

Angreifern ist es gelungen, Nutzerdaten, Nachrichten sowie alte Passwort-Hashes aus einem Backup der Webseite Reddit zu kopieren. Offenbar reichte das Abfangen einer SMS zur Zwei-Faktor-Authentifizierung zum Eindringen in die Systeme.

Artikel veröffentlicht am ,
Die Betreiber der Social-News-Seite Reddit melden einen Einbruch in ihre Systeme.
Die Betreiber der Social-News-Seite Reddit melden einen Einbruch in ihre Systeme. (Bild: Robert Galbraith, Reuters)

"Ein Angreifer ist in die Systeme von Reddit eingedrungen und erhielt Zugriff auf Nutzerdaten samt aktueller E-Mail-Adressen und einem Datenbank-Backup von 2007 mit alten, gesalzenen, gehashten Passwörtern", schreibt Reddit in einer Ankündigung. Der Angriff erfolgte demnach Mitte Juni dieses Jahres, der Einbruch gelang offenbar aufgrund einer schwachen Zwei-Faktor-Authentifizierung (2FA). Mittlerweile untersuchen Strafverfolgungsbehörden den Vorfall.

Stellenmarkt
  1. KEYMILE GmbH, Hannover
  2. Bechtle Onsite Services GmbH, Weissach

Laut der Ankündigung des Unternehmens seien sämtliche Zugänge zu Code und Infrastruktur durch 2FA abgesichert gewesen. Die Betreiber mussten jedoch erfahren "dass SMS-basierte Authentifizierung nicht annähernd so sicher ist, wie wir gehofft hatten, denn der Hauptangriff erfolgte über das Abfangen der SMS". Der Angreifer konnte somit einige "wenige" der Zugänge der Reddit-Angestellten kompromittieren.

Dass insbesondere SMS und die zugrundeliegende Mobilfunk- und Telefontechnik etwa mit dem SS7-Protokollstapel nicht besonders sicher ist, ist jedoch keine neue Information. So demonstrierten Forscher in den vergangenen Jahren immer wieder Angriffe auf SS7 oder verwiesen auf die Möglichkeit, SMS abzufangen. Kriminelle konnte darüber hinaus schon durch das Abfangen der mTAN-SMS Bankkonten leer räumen.

Angreifer kopiert Nutzerdaten

Reddit versichert, dass der Angreifer zu keinem Zeitpunkt Schreibzugriff erlangen konnte und die Systeme damit nicht verändert werden konnten. Natürlich reicht aber auch ein Lesezugriff aus, um Nutzerdaten zu kopieren. Konkret betrifft dies demnach ein Backup sämtlicher Daten vom Start der Seite im Jahr 2005 bis zum Mai 2007. Dazu gehören der verwendete Nutzername sowie das gesalzene und gehashte Passwort, die E-Mail-Adresse sowie sämtliche Inhalte bezüglich öffentlicher wie privater Nachrichten. Reddit will die jeweils betroffenen Nutzer informieren und das Passwort zurücksetzen, falls das alte immer noch in Benutzung sein könnte.

Der Angreifer hatte zudem Zugriff auf die Logs der sogenannten E-Mail-Digests aus dem Juni 2018. Diese Information verknüpft die Nutzernamen mit E-Mail-Adressen und enthält eine Liste von vorgeschlagenen Themen, die die Nutzer interessieren könnten. Nutzer, die keine E-Mail-Adresse hinterlegen oder die Funktion explizit deaktiviert haben, seien nicht betroffen.

Darüber hinaus hatte der Angreifer Zugriff auf die internen Storage-Systeme, den Quellcode von Reddit, weitere Log- und Konfigurationsdateien sowie Arbeitsunterlagen der Mitarbeiter.

Reddit will den Zugriff auf seine Systeme künftig besser überwachen und für die 2FA auf sogenannte Token, also Hardwareschlüssel, setzen. Nutzer fordert das Unternehmen dazu auf, zu überlegen, ob sie das bei Reddit vor elf Jahren genutzte Passwort noch woanders nutzen und dies entsprechend zu ändern. Den Nutzern empfiehlt der Betreiber darüber hinaus ebenfalls auf eine 2FA zum Login zu setzen, was für Reddit-Nutzer über eine Authenticator-App umgesetzt wird.



Anzeige
Blu-ray-Angebote
  1. (Prime Video)
  2. (u. a. The Equalizer Blu-ray, Hotel Transsilvanien 2 Blu-ray, Arrival Blu-ray, Die glorreichen 7...
  3. 4,25€

My1 03. Aug 2018 / Themenstart

ich finde es aber schon blöd dass man nicht bspw sagen kann dass mal i-wann neue sims...

My1 03. Aug 2018 / Themenstart

Wenns irgendwann mal ne Gratis BerCA für Pseudonym und/oder altersprüfung ja/nein gibt...

chefin 02. Aug 2018 / Themenstart

Admins mit Nur Lese rechten? Also da vergeigst du dich aber gehörig. Die haben ein Nur...

chefin 02. Aug 2018 / Themenstart

woher weist du welche Nummer zu welchem Dienst gehört? Du hast irgendwo Daten erbeutet...

Kommentieren


Folgen Sie uns
       


Amazons Fire HD 10 Kids Edition - Hands on

Das Fire HD 10 Kids Edition ist das neue Kinder-Tablet von Amazon. Das Tablet entspricht dem normalen Fire HD 10 und wird mit speziellen Dreingaben ergänzt. So gibt es eine Gummiummantelung, um Stürze abzufangen. Außerdem gehört der Dienst Freetime Unlimited für ein Jahr ohne Aufpreis dazu. Das Fire HD 10 Kids Edition kostet 200 Euro. Falls das Tablet innerhalb von zwei Jahren nach dem Kauf kaputtgeht, wird es ausgetauscht.

Amazons Fire HD 10 Kids Edition - Hands on Video aufrufen
Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Spezial Unabhängige Riesen und Ritter für Nintendo Switch
  2. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  3. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht

Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Navya Mainz testet autonomen Bus am Rheinufer
  2. Drive-by-wire Schaeffler kauft Lenktechnik für autonomes Fahren
  3. Autonomes Fahren Ubers Autos sind wieder im Einsatz - aber nicht autonom

    •  /