Reddit zhakowany – dwuskładnikowe uwierzytelnienie nie pomogło

Reddit uczciwie przyznaje, że mimo iż atakujący nie uzyskali praw zapisu w jego systemach, to jednak uzyskali dostęp do kilku kont administratorów. Nazwy dostawców nie zostały podane, jednak prawdopodobnie chodziło o firmy typu AWS czy GitHub. Mimo, że konta były zabezpieczone za pomocą dwuskładnikowego uwierzytelnienia, opartego o kody SMS, nie stanowiło to przeszkody dla atakujących, którzy przejęli odpowiednie wiadomości.

Hakerom udało się dostać do kopii bezpieczeństwa, części logów i kodu źródłowego. Między innymi dobrali się do pełnej kopii Reddita z roku 2007, zawierającej także dane użytkowników zarejestrowanych do momentu utworzenia backupu, wraz ze skrótami ich haseł. Jeśli ktoś nie pamięta, kiedy założył konto na Reddicie, może spodziewać się emaila od firmy. Wszyscy, których dane mogły wpaść w ręce włamywaczy, powinni otrzymać wiadomość od serwisu, a ich hasła zostaną zmienione.

Wnioski jakie po incydencie wyciągnął Reddit wskazują na zmierzch ery dwuskładnikowego uwierzytelniania. Czas kodów SMS już przeminął, a sensowną alternatywą w przypadku np. logowania administratora jest generator kodów jednorazowych w postaci aplikacji, taki jak Google Authenticator. Obejście takiego zabezpieczenia jest dużo trudniejsze niż przejęcie wiadomości SMS, choć to rozwiązanie wciąż jest podatne na phishing. Przed takim atakiem dużo skuteczniej chroni dopiero klucz sprzętowy typu Yubikey, którego nie da się zastosować na fałszywej stronie. To jednak nie znaczy, że wszyscy powinni ruszyć do sklepów po klucze sprzętowe, gdyż zabezpieczenie kodem SMS nadal pozostanie wystarczające dla wielu sytuacji, gdzie potencjalny zysk dla atakującego jest niewielki.