Abo
  • Services:

Nutzerdaten kopiert: Reddit-Einbruch gelingt durch Abfangen von 2FA-SMS

Angreifern ist es gelungen, Nutzerdaten, Nachrichten sowie alte Passwort-Hashes aus einem Backup der Webseite Reddit zu kopieren. Offenbar reichte das Abfangen einer SMS zur Zwei-Faktor-Authentifizierung zum Eindringen in die Systeme.

Artikel veröffentlicht am ,
Die Betreiber der Social-News-Seite Reddit melden einen Einbruch in ihre Systeme.
Die Betreiber der Social-News-Seite Reddit melden einen Einbruch in ihre Systeme. (Bild: Robert Galbraith, Reuters)

"Ein Angreifer ist in die Systeme von Reddit eingedrungen und erhielt Zugriff auf Nutzerdaten samt aktueller E-Mail-Adressen und einem Datenbank-Backup von 2007 mit alten, gesalzenen, gehashten Passwörtern", schreibt Reddit in einer Ankündigung. Der Angriff erfolgte demnach Mitte Juni dieses Jahres, der Einbruch gelang offenbar aufgrund einer schwachen Zwei-Faktor-Authentifizierung (2FA). Mittlerweile untersuchen Strafverfolgungsbehörden den Vorfall.

Stellenmarkt
  1. über experteer GmbH, verschiedene Standorte in Deutschland, Slowakei und Ungarn
  2. KW-Commerce GmbH, Berlin

Laut der Ankündigung des Unternehmens seien sämtliche Zugänge zu Code und Infrastruktur durch 2FA abgesichert gewesen. Die Betreiber mussten jedoch erfahren "dass SMS-basierte Authentifizierung nicht annähernd so sicher ist, wie wir gehofft hatten, denn der Hauptangriff erfolgte über das Abfangen der SMS". Der Angreifer konnte somit einige "wenige" der Zugänge der Reddit-Angestellten kompromittieren.

Dass insbesondere SMS und die zugrundeliegende Mobilfunk- und Telefontechnik etwa mit dem SS7-Protokollstapel nicht besonders sicher ist, ist jedoch keine neue Information. So demonstrierten Forscher in den vergangenen Jahren immer wieder Angriffe auf SS7 oder verwiesen auf die Möglichkeit, SMS abzufangen. Kriminelle konnte darüber hinaus schon durch das Abfangen der mTAN-SMS Bankkonten leer räumen.

Angreifer kopiert Nutzerdaten

Reddit versichert, dass der Angreifer zu keinem Zeitpunkt Schreibzugriff erlangen konnte und die Systeme damit nicht verändert werden konnten. Natürlich reicht aber auch ein Lesezugriff aus, um Nutzerdaten zu kopieren. Konkret betrifft dies demnach ein Backup sämtlicher Daten vom Start der Seite im Jahr 2005 bis zum Mai 2007. Dazu gehören der verwendete Nutzername sowie das gesalzene und gehashte Passwort, die E-Mail-Adresse sowie sämtliche Inhalte bezüglich öffentlicher wie privater Nachrichten. Reddit will die jeweils betroffenen Nutzer informieren und das Passwort zurücksetzen, falls das alte immer noch in Benutzung sein könnte.

Der Angreifer hatte zudem Zugriff auf die Logs der sogenannten E-Mail-Digests aus dem Juni 2018. Diese Information verknüpft die Nutzernamen mit E-Mail-Adressen und enthält eine Liste von vorgeschlagenen Themen, die die Nutzer interessieren könnten. Nutzer, die keine E-Mail-Adresse hinterlegen oder die Funktion explizit deaktiviert haben, seien nicht betroffen.

Darüber hinaus hatte der Angreifer Zugriff auf die internen Storage-Systeme, den Quellcode von Reddit, weitere Log- und Konfigurationsdateien sowie Arbeitsunterlagen der Mitarbeiter.

Reddit will den Zugriff auf seine Systeme künftig besser überwachen und für die 2FA auf sogenannte Token, also Hardwareschlüssel, setzen. Nutzer fordert das Unternehmen dazu auf, zu überlegen, ob sie das bei Reddit vor elf Jahren genutzte Passwort noch woanders nutzen und dies entsprechend zu ändern. Den Nutzern empfiehlt der Betreiber darüber hinaus ebenfalls auf eine 2FA zum Login zu setzen, was für Reddit-Nutzer über eine Authenticator-App umgesetzt wird.



Anzeige
Top-Angebote
  1. 39,99€
  2. (heute u. a. Roccat Tyon Maus 69,99€, Sandisk 400 GB Micro-SDXC-Karte 92,90€)
  3. (heute u. a. Yamaha AV-Receiver 299,00€ statt 469,00€)
  4. (u. a. John Wick, Sicario, Deepwater Horizon, Die große Asterix Edition, Die Tribute von Panem)

My1 03. Aug 2018

ich finde es aber schon blöd dass man nicht bspw sagen kann dass mal i-wann neue sims...

My1 03. Aug 2018

Wenns irgendwann mal ne Gratis BerCA für Pseudonym und/oder altersprüfung ja/nein gibt...

chefin 02. Aug 2018

Admins mit Nur Lese rechten? Also da vergeigst du dich aber gehörig. Die haben ein Nur...

chefin 02. Aug 2018

woher weist du welche Nummer zu welchem Dienst gehört? Du hast irgendwo Daten erbeutet...


Folgen Sie uns
       


Toshiba Dynaedge ausprobiert

Das Dynaedge ist wie Google Glass eine Datenbrille. Allerdings soll sie sich an den industriellen Sektor richten. Die Brille paart Toshiba mit einem tragbaren PC - für Handwerker, die beide Hände und ein PDF-Dokument brauchen.

Toshiba Dynaedge ausprobiert Video aufrufen
Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

Assassin's Creed Odyssey im Test: Spektakel mit Spartiaten
Assassin's Creed Odyssey im Test
Spektakel mit Spartiaten

Inselwelt statt Sandwüste, Athen statt Alexandria und dazu der Krieg zwischen Hellas und Sparta: Odyssey schickt uns erneut in einen antiken Konflikt - und in das bislang mit Abstand schönste und abwechslungsreichste Assassin's Creed.
Von Peter Steinlechner

  1. Assassin's Creed Odyssey setzt CPU mit AVX-Unterstützung voraus
  2. Project Stream Google testet mit kostenlosem Assassin's Creed Odyssey
  3. Assassin's Creed angespielt Odyssey und der spartanische Supertritt

LittleBits Hero Inventor Kit: Die Lizenz zum spaßigen Lernen
LittleBits Hero Inventor Kit
Die Lizenz zum spaßigen Lernen

LittleBits gehört mittlerweile zu den etablierten und erfolgreichen Anbietern für Elektronik-Lehrkästen. Für sein neues Set hat sich der Hersteller eine Lizenz von Marvel Comics gesichert. Versucht LittleBits mit den berühmten Superhelden von Schwächen abzulenken? Wir haben es ausprobiert.
Von Alexander Merz


      •  /