Reddit hack揭示了双因素认证安全的局限性
一名黑客通过拦截员工用于双因素认证的短信,成功窃取Reddit Inc.的历史账户数据,以获取一些后端系统的访问权限
今天披露的窃听事件发生在6月14日至18日之间。它看到黑客获得了2007年6月Reddit发送的数据库备份和电子邮件摘要。
前者包括从2005年到2007年5月Reddit发布的“非常早期Reddit用户数据”,包括用户名、电子邮件地址、帖子、私人消息和盐渍散列密码,后者包括帐户名和电子邮件地址。
Reddit没有详细说明的是使用了什么方法加密密码。有些方法比其他方法更容易解密,但该公司并不冒什么险,在给受影响用户的电子邮件中写道“我们正在向您发送消息,因为您的Reddit帐户凭据是访问的数据之一”,“如果凭据有可能与您当前密码相关,我们将提示您重置Reddit帐户上的密码。
这封电子邮件还说,用户应该思考他们是否“仍然在使用11年前你在Reddit上使用的密码在今天的任何其他网站上”。
ZeroFOX Inc.首席安全官萨姆·斯莫尔(Sam Small)告诉SiliconANGLE,数据被窃取的问题是,许多Reddit用户被吸引到该网站匿名。
斯莫尔解释说:“在最近的这起事件中......许多被破坏的数据最终可能会暴露出人们的个人观点、评论、订阅特定的次级Reddits、用户之间的消息,甚至发布用户投票的消息。“涉案风险与潜在丑闻的影响成正比。人越重要,内容越不起眼,由此产生的丑闻就越大。”
对于那些认为删除他们的Reddit帐户可能会帮助他们的人,斯莫尔说,这只猫已经出局了。他说:“许多在线服务镜像和缓存旧Reddit数据,因此可能没有办法收回过去在网上分享的评论。“这一事件是另一个重要的提醒,提醒你要注意你在网上分享的内容,特别是如果你不当众说的话。
鉴于许多公司首先使用基于SMS的2FA作为安全措施,许多安全专家将重点放在黑客拦截双因素认证消息以获得访问的方法上。
Thycotic软件有限公司首席安全科学家约瑟夫·卡森(Joseph Carson)表示:“Reddit黑客行为提醒人们,......并非所有的双因素认证都提供了相同的安全性,”Reddit需要提高实施最小特权和特权访问安全控制模式的优先级,因为这一漏洞表明,受损的账户已经读取了对存储系统的访问,包括源代码、日志和配置。
卡韦林系统公司(Cavirin Systems Inc.)首席安全官约瑟夫·库西奇(Joseph Kucic)补充说,SMS漏洞至少从2017年6月起就已知晓。
他表示:“移动设备恶意软件捕获/截获短信的数量大幅增加,这是移动银行应用程序使用的一大好处。他说,短信也有其他风险,包括SIM交换和未经授权从核心电信信令环境访问。
他说:“当Reddit在2005年开始使用SMS进行双因素认证时,这是一种最好的做法,但在过去15年里,智能手机已经成为主要用户设备,黑客已经转移了他们的注意力和努力,以利用那些曾经在本质上非常有限的领域的弱点。
Secure Auth Core Security首席技术官基思?格雷厄姆(Keith Graham)表示,这一消息表明,“各组织需要更进一步,而不仅仅是通过双因素认证,利用将数据筒仓连接在一起的身份平台来创建全面的身份控制。