02.08.2018
Online

Reddit hack laat gat in 2-factor authenticatie via SMS zien

By: Patrick Smeets

BlogOnline

Reddit, het grootste forum ter wereld en zelfbenoemde ‘front page of the internet’, is gehackt. Een gedeelte van de gegevens van gebruikers die tussen 2005 en 2007 een account hebben gemaakt zijn toegankelijk geweest voor de indringers en hoewel er geen bruikbare wachtwoorden buitgemaakt zijn hebben de hackers nu wel de gebruikersnamen, e-mail adressen en de dingen die de gebruikers in kwestie geschreven hebben op het forum, inclusief privé-berichten.

Reddit heeft prima op het datalek gereageerd, de nodige instanties ingelicht en aan gebruikers duidelijk gemaakt wat er naar buiten gelekt is, met het vriendelijke verzoek om hun wachtwoord toch maar te vervangen voor de zekerheid, dus de effectieve schade (afhankelijk van wie er wat heeft geschreven op Reddit en hoe chantabel ze dat maakt) valt mee. Als je op Reddit zit en geen bericht van ze hebt gehad zit je data er niet bij.

2-factor ellende

2-factor authenticatie wordt de laatste paar jaar steeds meer gebruikt. Nadat je inlogt nog een tweede code of bevestiging moeten sturen via een andere weg wordt gezien als een van de veiligste manieren om toegang tot een account te beveiligen. Zoals Google echter ook al – vlak voor het aankondigen van hun eigen 2-factor apparaatje – zei is het gebruik van je telefoon daarvoor een zwakke schakel.

Dat blijkt hier ook maar weer, want bij Reddit wordt vermoed dat de toegang tot de cloud-opslag van de site is verkregen doordat iemand de inloggegevens van een medewerker heeft gevonden en daarna via het imiteren, tijdelijk onderscheppen of zelfs overnemen van iemand’s telefoonnummer het controlerende sms’je heeft kunnen ontvangen dat nodig was om in te loggen. Voor normale stervelingen die geen enkele toegang hebben tot iets wat iemand wil hebben is dat niet zo belangrijk, maar als je al 2-factor authenticatie hebt of wilt hebben is het een ander verhaal. SMS-boodschappen zijn te makkelijk te onderscheppen en daarom niet veilig. Zorg dus dat je een usb security-sleutel of andere op hardware gebaseerde oplossing hebt voor je 2-factor authenticatie, zeker als je aan de servers van Reddit mag…

[Afbeeldingen © stockertop – Adobe Stock]

Share this post