Nutzerdaten kopiert: Reddit-Einbruch gelingt durch Abfangen von 2FA-SMS

Angreifern ist es gelungen, Nutzerdaten, Nachrichten sowie alte Passwort-Hashes aus einem Backup der Webseite Reddit zu kopieren. Offenbar reichte das Abfangen einer SMS zur Zwei-Faktor-Authentifizierung zum Eindringen in die Systeme.

Artikel veröffentlicht am ,
Die Betreiber der Social-News-Seite Reddit melden einen Einbruch in ihre Systeme.
Die Betreiber der Social-News-Seite Reddit melden einen Einbruch in ihre Systeme. (Bild: Robert Galbraith, Reuters)

"Ein Angreifer ist in die Systeme von Reddit eingedrungen und erhielt Zugriff auf Nutzerdaten samt aktueller E-Mail-Adressen und einem Datenbank-Backup von 2007 mit alten, gesalzenen, gehashten Passwörtern", schreibt Reddit in einer Ankündigung. Der Angriff erfolgte demnach Mitte Juni dieses Jahres, der Einbruch gelang offenbar aufgrund einer schwachen Zwei-Faktor-Authentifizierung (2FA). Mittlerweile untersuchen Strafverfolgungsbehörden den Vorfall.

Stellenmarkt
  1. SAP WM/EWM Berater (m/w/x)
    über duerenhoff GmbH, Frankfurt am Main
  2. SAP PP Berater Job (m/w/x)
    über duerenhoff GmbH, Göttingen
Detailsuche

Laut der Ankündigung des Unternehmens seien sämtliche Zugänge zu Code und Infrastruktur durch 2FA abgesichert gewesen. Die Betreiber mussten jedoch erfahren "dass SMS-basierte Authentifizierung nicht annähernd so sicher ist, wie wir gehofft hatten, denn der Hauptangriff erfolgte über das Abfangen der SMS". Der Angreifer konnte somit einige "wenige" der Zugänge der Reddit-Angestellten kompromittieren.

Dass insbesondere SMS und die zugrundeliegende Mobilfunk- und Telefontechnik etwa mit dem SS7-Protokollstapel nicht besonders sicher ist, ist jedoch keine neue Information. So demonstrierten Forscher in den vergangenen Jahren immer wieder Angriffe auf SS7 oder verwiesen auf die Möglichkeit, SMS abzufangen. Kriminelle konnte darüber hinaus schon durch das Abfangen der mTAN-SMS Bankkonten leer räumen.

Angreifer kopiert Nutzerdaten

Reddit versichert, dass der Angreifer zu keinem Zeitpunkt Schreibzugriff erlangen konnte und die Systeme damit nicht verändert werden konnten. Natürlich reicht aber auch ein Lesezugriff aus, um Nutzerdaten zu kopieren. Konkret betrifft dies demnach ein Backup sämtlicher Daten vom Start der Seite im Jahr 2005 bis zum Mai 2007. Dazu gehören der verwendete Nutzername sowie das gesalzene und gehashte Passwort, die E-Mail-Adresse sowie sämtliche Inhalte bezüglich öffentlicher wie privater Nachrichten. Reddit will die jeweils betroffenen Nutzer informieren und das Passwort zurücksetzen, falls das alte immer noch in Benutzung sein könnte.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
Weitere IT-Trainings

Der Angreifer hatte zudem Zugriff auf die Logs der sogenannten E-Mail-Digests aus dem Juni 2018. Diese Information verknüpft die Nutzernamen mit E-Mail-Adressen und enthält eine Liste von vorgeschlagenen Themen, die die Nutzer interessieren könnten. Nutzer, die keine E-Mail-Adresse hinterlegen oder die Funktion explizit deaktiviert haben, seien nicht betroffen.

Darüber hinaus hatte der Angreifer Zugriff auf die internen Storage-Systeme, den Quellcode von Reddit, weitere Log- und Konfigurationsdateien sowie Arbeitsunterlagen der Mitarbeiter.

Reddit will den Zugriff auf seine Systeme künftig besser überwachen und für die 2FA auf sogenannte Token, also Hardwareschlüssel, setzen. Nutzer fordert das Unternehmen dazu auf, zu überlegen, ob sie das bei Reddit vor elf Jahren genutzte Passwort noch woanders nutzen und dies entsprechend zu ändern. Den Nutzern empfiehlt der Betreiber darüber hinaus ebenfalls auf eine 2FA zum Login zu setzen, was für Reddit-Nutzer über eine Authenticator-App umgesetzt wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


My1 03. Aug 2018

ich finde es aber schon blöd dass man nicht bspw sagen kann dass mal i-wann neue sims...

My1 03. Aug 2018

Wenns irgendwann mal ne Gratis BerCA für Pseudonym und/oder altersprüfung ja/nein gibt...

chefin 02. Aug 2018

Admins mit Nur Lese rechten? Also da vergeigst du dich aber gehörig. Die haben ein Nur...

chefin 02. Aug 2018

woher weist du welche Nummer zu welchem Dienst gehört? Du hast irgendwo Daten erbeutet...



Aktuell auf der Startseite von Golem.de
Digitales Geld vom Staat
Hast du mal nen E-Euro?

Die traditionelle Finanzwirtschaft bekommt zunehmend digitale Konkurrenz, demnächst auch von staatlicher Seite.
Von Dirk Koller

Digitales Geld vom Staat: Hast du mal nen E-Euro?
Artikel
  1. E-Autos inklusive: Tübinger müssen 180 Euro Parkgebühren für SUVs zahlen
    E-Autos inklusive
    Tübinger müssen 180 Euro Parkgebühren für SUVs zahlen

    Tübingens Oberbürgermeister Boris Palmer hat sich mit höheren Anwohnerparkgebühren für schwere Autos durchsetzen können.

  2. Apple: TVOS 15 noch ohne Shareplay und mit einer Beschränkung
    Apple
    TVOS 15 noch ohne Shareplay und mit einer Beschränkung

    Mit TVOS 15 lassen sich Homepod Mini mit einem Apple TV verbinden - das setzt aber einen Apple TV mit 4K-Unterstützung voraus.

  3. Eli Zero: Kleines E-Auto mit Türen und Fenstern kostet 12.000 Euro
    Eli Zero
    Kleines E-Auto mit Türen und Fenstern kostet 12.000 Euro

    Das minimalistische, vierrädrige Elektroauto Eli Zero soll für rund 12.000 Euro nach Europa kommen. Der Zweisitzer erinnert an den Smart.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 23,8" FHD 144Hz 166,90€ • PCGH-PC mit Ryzen 5 3600 & RTX 3060 999€ • Alternate-Deals (u. a. Asus WLAN-Adapter PCIe 24,90€) • MM-Prospekt (u. a. Asus TUF 17" i5 RTX 3050 1.099€) • Samsung 970 Evo Plus 1TB 99€ • Saturn Hits 2021 (u. a. Philips 55" OLED 120Hz 1.849€) [Werbung]
    •  /