Ledsen Reddit-maskot

Reddit har angripits och läckt användardata

Det populära nätforumet Reddit har blivit utsatt för ett angrepp och läckt en större mängd användardata. Angriparna tros bland annat ha kommit över en databas från 2007 med användarnamn, e-postadresser, maskerade lösenord (saltade och hashade) samt såväl publika som privata meddelanden. Reddit mejlar nu alla berörda användare för att informera om det som har inträffat. Ifall du har haft ett konto på Reddit sedan 2007 och inte bytt lösenord sedan dess bör du göra det nu. Om du använder samma lösenord på andra webbplatser bör du också byta lösenord där.

Angriparna kom även över aktuell data men lyckligtvis inte i samma utsträckning. Den enda aktuella datan de tros ha kommit åt är e-postadresserna till de som prenumererar på Reddits nyhetsbrev (inte lösenorden).

SMS var den svaga länken

Reddit berättar att angriparna tog sig in via svagheter i den SMS-baserade tvåfaktorsautentiseringslösningen som Reddits anställda använde. SMS är utan tvekan en svag lösning för att skicka tvåfaktorsautentiseringskoder. Vi som användare bör alltid välja säkrare lösningar (t.ex. Google Authenticator eller Yubikey) när sådana erbjuds. Så är tyvärr inte alltid fallet och då är SMS absolut bättre än ingenting. Bara för att SMS är en dålig tvåfaktorsautentiseringslösning ger den ändå ett betydligt bättre skydd än ett ensamt lösenord.

Obs! Många tjänster som erbjuder flera tvåfaktorsautentiseringslösningar har kvar SMS som ett aktivt alternativ även om till exempel Google Authenticator eller Yubikey aktiveras. Detta gäller bland annat Twitter och Microsoft Azure AD. Så länge SMS är ett aktivt tvåfaktorsautentiseringsalterantiv kan angripare dra nytta av sårbarheterna i SMS-systemet. Inaktivera om möjligt SMS för tvåfaktorsautentisering så fort du har aktiverat ett bättre alternativ (men inte förrän då).

Oklarheter i Reddits uttalande

Reddits uttalanden lämnar oss med ett stort frågetecken: hur kom angriparna över de berörda anställdas lösenord? I uttalandet står endast att angriparna utnyttjade SMS-systemets sårbarheter för att komma över de anställdas sekundära inloggningsfaktor, inte hur de kom över de anställas primära inloggningsfaktor (lösenorden).

On June 19, we learned that between June 14 and June 18, an attacker compromised a few of our employees’ accounts with our cloud and source code hosting providers. Already having our primary access points for code and infrastructure behind strong authentication requiring two factor authentication (2FA), we learned that SMS-based authentication is not nearly as secure as we would hope, and the main attack was via SMS intercept. We point this out to encourage everyone here to move to token-based 2FA.

Läs mer om dataläckan på Reddit

Lämna en kommentar

Fler Bli säker-nyheter

Nyhetsbrev

Få Bli säker-nyheterna till din inkorg en gång per vecka. Läs mer.

Följer du oss?