A kétlépcsős védelem nyitott kaput a Reddit-adatlopás előtt

Adatlopás áldozata lett a Reddit, amelyhez a támadók épp az oldal védelmét erősíteni hivatott SMS-alapú kétfaktoros beléptetést használták ki. Az akció során az oldal belső adatai mellett felhasználónevek, email címek és titkosított jelszavak is kiszivárogtak.

A Reddit kapcsolódó blogposztja szerint a támadást június 14. és 18. között hajtották végre, méghozzá néhány alkalmazott a cég által használt egyik felhőszolgáltatónál kezelt fiókjának feltörésével. Noha a vállalat minden érintett helyen kétfaktoros beléptetést használt, ennek SMS-re építő variánsa sebezhető, a támadást épp az azonosító kódot tartalmazó SMS-ek elcsípésével hajtották végre ismeretlenek. Hogy ezeket az üzeneteket a támadók pontosan hogy tudták megszerezni, azt a vállalat egyelőre nem részletezte, a Krebs on Security értesülései szerint mindenesetre a támadók nem közvetlenül az alkalmazottak telefonjait vették ostrom alá.

Főleg régi adatokat vittek a támadók

A támadók az akció során az oldal egy korábbi biztonsági másolatának megszerzésével a Reddit minden 2007 előtti adatához hozzáfértek, beleértve a fiókazonosítókat, a hozzájuk tartozó, hashelt jelszavakat, email címeket és nyilvános, valamint privát üzeneteket is. Mindezek mellett a Reddit forráskódja, belső napló- és konfigurációs fájlok és az alkalmazottakra vonatkozó adatok is kiszivárogtak. A vállalat minden érintett felhasználót értesített az ügyről, továbbá jelszavaik megváltoztatására is kötelezi őket.

De a 2007 után regisztrált felhasználók sincsenek teljes biztonságban, az adatszivárgásban ugyanis a 2018 június 3. és 17. között kiküldött emailes összefoglalók is a támadók birtokába kerültek. A szolgáltatásra feliratkozott felhasználók számára kiküldött összefoglalók az adott hét legnépszerűbb releváns posztjait és tartalmait gyűjtik csokorba - a levelek alapján pedig összeköthető az egyes felhasználók Redditen használt neve és valós email címe. Aki nem iratkozott fel a hírlevélre nincs veszélyben, az érintett felhasználók esetében viszont aggodalomra adhat okot az email és a felhasználónév potenciális összekötése. Ha például egy felhasználó anonim módon szándékozott AMA-t (Ask Me Anything - kérdezz bármit) tartani az oldalon az adott téma érzékenysége miatt, most a támadók felhasználónevét összeköthetik email címével is, ami nagyban megkönnyítheti a felhasználó személyazonosságának meghatározását.

A senior horizonton túl: a staff meg a többiek Senior tapasztalati szint fölött van még pár egzotikus lépcsőfok, illetve a mögöttük rejtőző elvárások.

A keserű tapasztalatok után a Reddit mindenkit arra biztat, kerülje az SMS-re építő kétlépcsős azonosítást, és váltson valamilyen tokenalapú megoldásra. Az SMS-ben egyszer használatos beléptetőkódot küldő szolgáltatások hiányosságai már jó ideje ismertek, azok többek között phising támadásokkal is kijátszhatók.

A SIM-csere és a számhordozás is népszerű a támadók körében

Népszerűnek számít például az "SIM-csere", mikor a támadók az adott felhasználó által használt mobilszolgáltató ügyfélszolgálatán magukat az áldozatnak kiadva szereznek új SIM-et az eredeti telefonszámmal. Ehhez hasonló eljárás, mikor ugyancsak a szám tulajdonosa nevében a telefonszám átvitelét kérvényezik egy másik szolgáltatóhoz - a mobilszolgáltatás mindkét módszer sikeres kivitelezése esetén megszűnik az áldozat készülékén, a beléptető SMS-ek pedig a támadókhoz érkeznek.

Ennek megfelelően bár az online szolgáltatások zöme felajánlja az SMS-es kétlépcsős beléptetést mint lehetőséget, jellemzően valamilyen más módszert javasolnak a bejelentkeztetés második részének, például fizikai azonosítótokent vagy épp dedikált autentikációs alkalmazást, mint a Google Authenticator. Ezek közül is inkább az első, vagyis a tokenre építő megoldás jelent nagyobb védelmet, hiszen az appok által generált kódokat egy-egy kártékony szoftverrel fertőzött készülékről az eltökéltebb támadók elhalászhatják. A tokeneket egyelőre viszonylag kevés online szolgáltatás támogatja, szerencsére azonban a nagyok már felvették azt opcióik közé, beleértve a Facebookot, a Google-t, a Dropboxot és a GitHubot is.

A vállalat a történteket már jelezte az illetékes hatóságok felé, akikkel a nyomozásban is együttműködik, továbbá már megköveteli a vállalaton belül a fizikai azonosító tokenek használatát. A Reddit felhasználóinak érdemes ellenőrizni privát üzeneteiket, hogy kaptak-e értesítést az oldaltól a támadás kapcsán, a cég továbbá azokat is a jelszavaik megváltoztatására bátorít, akik nem érintettek az ügyben.