O Reddit tornou-se a mais recente firma a sofrer uma violação de dados, depois dos hackers terem comprometido e interceptados os códigos 2FA das contas do staff técnico.

Mais um dia e mais uma violação de dados.

A gigante Reddit anunciou que sofreu uma violação de dados em que os hackers invadiram o sistema e acabaram por roubar dados dos utilizadores  registados, incluindo e-mails e representações de palavras-passse.

O Reddit descobriu a violação em 19 de junho de 2018 depois dos ciber atacantes invadirem as contas dos seus funcionários entre 14 e 18 de junho.  Isso permitiu-lhes aceder aos principais pontos de acesso do Reddit, o que levou a um leak de uma cópia completa de uma base de dados entre 2005 e 2007.

Se vosse se registou depois de 2007 no Reddit, então os seus dados pessoais não foram potencialmente expostos.

O backup obtido pelos atacantes continha nomes de utilizador, emails, representações de palavras-passe dos utilizadores da comunidade, posts públicos e ainda as mensagens privadas. Vale apena ressaltar que as contas dos funcionários estavam protegidas por 2FA mas os atacantes conseguiram violar a segurança interceptando as mensagens de texto (SMS) que deveriam ser entregues aos respetivos funcionários.

“Although this was a serious attack, the attacker did not gain write access to Reddit systems; they gained read-only access to some systems that contained backup data, source code, and other logs,” wrote Reddit’s founding engineer Christopher Slowe.

 

O Reddit informou as autoridades policiais e os utilizadores afetados também estão a ser contactados. Slowe disse ainda que os utilizadores deverão preferir usar autenticações de segundo fator 2FA baseadas em tokens e não apenas em SMS — como reforço de segurança.

“We learned that SMS-based authentication is not nearly as secure as we would hope, and the main attack was via SMS intercept, said Slowe “We point this out to encourage everyone here to move to token-based 2FA.”

 

A empresa tomou medidas de segurança  para bloquear e rotacionar todos “os segredos” de produção e chaves de API, além de aprimorar os seus sistemas de monitorização.

Em seguida é aqui apresentado o comunicado emitido pelo Reddit:

reddit_databreach1 reddit_databreach2

 

Como a interceção do 2FA pode ter acontecido?

Não há nada de surpreendente em interceptar o SMS, já que o Sistema de Sinalização Número 7 (SS7) é altamente vulnerável. A falha permite que os invadores infetem qualquer smartphone, interceptando as suas chamadas de voz e mensagens de texto, além de obterem também as suas localizações. Atualmente, existem bilhões de smartphones e utilizadores em risco de espionagem no mundo inteiro.

In 2015, hackers demonstrated how they could intercept and record the telephonic conversations as well as the locations of Nick Xenophon, an Australian senator, even when hackers were located thousands of miles away in Germany.

“Verification by SMS message is useless against a determined hacker with access to the SS7 portal because they can intercept and use the SMS code before it gets to the bank customer,” hackers noted back in 2015.

In 2016 and 2017, the same flaw was reportedly used to hack Facebook accounts, Gmail-based emails, and Bitcoin wallet. Most recently, Joel Ortiz, a California based hacker stole millions of dollars from his victims after hacking 40 SIM cards and reminded us that online security is a myth.


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *