Die Social-News-Seite Reddit wurde gehackt. Im August gab das Portal bekannt, einen Hackerangriff auf Accounts von Mitarbeitern erlitten zu haben. Das Außergewöhnliche daran: Die Attacke ist trotz eingesetzter Zwei-Faktor-Authentifizierung gelungen.
Nutzer informiert
Die Angreifer erbeuteten ein Backup mit Nutzerdaten aus der Zeit vor 2007. Auch kryptografisch geschützte Passwörter waren nach Auskunft eines Mitarbeiters Teil der erbeuteten Daten. Zudem haben sich die Hacker Zugriff auf einen aktuellen Mailverteiler verschafft. Über diesen können bestimmte Nutzernamen Mailadressen zugeordnet werden. Die betroffenen Nutzer habe man aber bereits per Mail informiert und die Passwörter zurückgesetzt.
Token statt SMS als zweiter Faktor
Der Zugriff auf die Daten war durch eine Zwei-Faktor-Authentifizierung gesichert, wobei der zweite Faktor via SMS bestätigt wurde. Nun stellte sich beim Angriff heraus, dass die SMS-Absicherung beim Einloggen nicht sicher genug ist, weil die SMS offenbar abgefangen wurden. Deswegen werde man bei Reddit von nun an bei den Mitarbeiterpasswörtern auf einen Token (also eine Hardware-Komponente) als zweiten Faktor setzen. Wie die SMS abgefangen werden konnten, ist bis dato noch unklar.
