• IT-Karriere:
  • Services:

Nutzerdaten kopiert: Reddit-Einbruch gelingt durch Abfangen von 2FA-SMS

Angreifern ist es gelungen, Nutzerdaten, Nachrichten sowie alte Passwort-Hashes aus einem Backup der Webseite Reddit zu kopieren. Offenbar reichte das Abfangen einer SMS zur Zwei-Faktor-Authentifizierung zum Eindringen in die Systeme.

Artikel veröffentlicht am ,
Die Betreiber der Social-News-Seite Reddit melden einen Einbruch in ihre Systeme.
Die Betreiber der Social-News-Seite Reddit melden einen Einbruch in ihre Systeme. (Bild: Robert Galbraith, Reuters)

"Ein Angreifer ist in die Systeme von Reddit eingedrungen und erhielt Zugriff auf Nutzerdaten samt aktueller E-Mail-Adressen und einem Datenbank-Backup von 2007 mit alten, gesalzenen, gehashten Passwörtern", schreibt Reddit in einer Ankündigung. Der Angriff erfolgte demnach Mitte Juni dieses Jahres, der Einbruch gelang offenbar aufgrund einer schwachen Zwei-Faktor-Authentifizierung (2FA). Mittlerweile untersuchen Strafverfolgungsbehörden den Vorfall.

Stellenmarkt
  1. Schaeffler Automotive Buehl GmbH & Co. KG, Bühl
  2. BG Klinikum Unfallkrankenhaus Berlin gGmbH, Berlin

Laut der Ankündigung des Unternehmens seien sämtliche Zugänge zu Code und Infrastruktur durch 2FA abgesichert gewesen. Die Betreiber mussten jedoch erfahren "dass SMS-basierte Authentifizierung nicht annähernd so sicher ist, wie wir gehofft hatten, denn der Hauptangriff erfolgte über das Abfangen der SMS". Der Angreifer konnte somit einige "wenige" der Zugänge der Reddit-Angestellten kompromittieren.

Dass insbesondere SMS und die zugrundeliegende Mobilfunk- und Telefontechnik etwa mit dem SS7-Protokollstapel nicht besonders sicher ist, ist jedoch keine neue Information. So demonstrierten Forscher in den vergangenen Jahren immer wieder Angriffe auf SS7 oder verwiesen auf die Möglichkeit, SMS abzufangen. Kriminelle konnte darüber hinaus schon durch das Abfangen der mTAN-SMS Bankkonten leer räumen.

Angreifer kopiert Nutzerdaten

Reddit versichert, dass der Angreifer zu keinem Zeitpunkt Schreibzugriff erlangen konnte und die Systeme damit nicht verändert werden konnten. Natürlich reicht aber auch ein Lesezugriff aus, um Nutzerdaten zu kopieren. Konkret betrifft dies demnach ein Backup sämtlicher Daten vom Start der Seite im Jahr 2005 bis zum Mai 2007. Dazu gehören der verwendete Nutzername sowie das gesalzene und gehashte Passwort, die E-Mail-Adresse sowie sämtliche Inhalte bezüglich öffentlicher wie privater Nachrichten. Reddit will die jeweils betroffenen Nutzer informieren und das Passwort zurücksetzen, falls das alte immer noch in Benutzung sein könnte.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Der Angreifer hatte zudem Zugriff auf die Logs der sogenannten E-Mail-Digests aus dem Juni 2018. Diese Information verknüpft die Nutzernamen mit E-Mail-Adressen und enthält eine Liste von vorgeschlagenen Themen, die die Nutzer interessieren könnten. Nutzer, die keine E-Mail-Adresse hinterlegen oder die Funktion explizit deaktiviert haben, seien nicht betroffen.

Darüber hinaus hatte der Angreifer Zugriff auf die internen Storage-Systeme, den Quellcode von Reddit, weitere Log- und Konfigurationsdateien sowie Arbeitsunterlagen der Mitarbeiter.

Reddit will den Zugriff auf seine Systeme künftig besser überwachen und für die 2FA auf sogenannte Token, also Hardwareschlüssel, setzen. Nutzer fordert das Unternehmen dazu auf, zu überlegen, ob sie das bei Reddit vor elf Jahren genutzte Passwort noch woanders nutzen und dies entsprechend zu ändern. Den Nutzern empfiehlt der Betreiber darüber hinaus ebenfalls auf eine 2FA zum Login zu setzen, was für Reddit-Nutzer über eine Authenticator-App umgesetzt wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Standard Edition PC für 44,99€, Xbox One / Series S/X für 62,99€, Deluxe Edition PC...
  2. 25,99€
  3. 19,49€

My1 03. Aug 2018

ich finde es aber schon blöd dass man nicht bspw sagen kann dass mal i-wann neue sims...

My1 03. Aug 2018

Wenns irgendwann mal ne Gratis BerCA für Pseudonym und/oder altersprüfung ja/nein gibt...

chefin 02. Aug 2018

Admins mit Nur Lese rechten? Also da vergeigst du dich aber gehörig. Die haben ein Nur...

chefin 02. Aug 2018

woher weist du welche Nummer zu welchem Dienst gehört? Du hast irgendwo Daten erbeutet...


Folgen Sie uns
       


Sprachsteuerung mit Apple Music im Vergleich

Eigentlich sollen smarte Lautsprecher den Musikkonsum auf Zuruf besonders bequem machen - aber das gelingt oftmals nicht. Überraschenderweise spielen Siri, Google Assistant und Alexa bei gleichen Sprachbefehlen andere Sachen, obwohl alle auf Apple Music zugreifen.

Sprachsteuerung mit Apple Music im Vergleich Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /