Die Social-News-Site Reddit hat einen erfolgreichen Hackerangriff auf Accounts von Reddit-Mitarbeitern bei einem Hosting-Provider eingestanden. Der Angriff sei trotz eingesetzter Zwei-Faktor-Authentifizierung geglückt. Der oder die Angreifer konnten dabei ein altes Backup erbeuten, das jede Menge Daten von vor 2007 über alle damaligen Reddit-Nutzer enthält, erklärt ein Vertreter des Portals.

Zugriff auf umfangreiche, aber alte Datenbank

In der Datenbank waren demnach auch kryptografisch (Hash plus Salt) geschützte Passwörter abgelegt. Betroffene Nutzer würden per Mail informiert, die Passwörter zurückgesetzt. Außerdem hatten der oder die Angreifer Zugriff auf einen aktuellen E-Mail-Verteiler, über den bestimmte Nutzernamen E-Mail-Adressen zugeordnet werden könnte.

Wie Reddit weiter erklärt, hatte der Angreifer lediglich einen Lesezugriff, konnte aber auch Quellcode, interne Log- und Konfigurationsdaten sowie andere Mitarbeiterdaten einsehen. Die Betreiber haben den Vorgang bereits an Strafverfolgungsbehörden gemeldet und wollen alle Nutzer informieren, wenn es den Anschein hat, dass die Daten auch zu aktuellen Passwörtern passen könnten.

Zwei-Faktor-Authentifizierung ausgehebelt

Eigentlich ist der Zugriff auf diese Daten durch Zwei-Faktor-Authentifzierung (2FA) abgesichert, wobei der zweite Faktor SMS-basiert war, wie Reddit erläutert. Man habe aber lernen müssen, dass SMS als Absicherung des Einloggens nicht sicher genug sei, denn "der hauptsächliche Teil des Angriff erfolgte über ein Abgreifen der SMS".

Neben dem obligatorischen Passwort werde man bei Mitarbeitern deswegen nun auf einen zweiten Faktor aus einem Token zurückgreifen. Das empfehle man auch allen anderen, die bislang auf SMS setzen. Wie die SMS abgefangen wurden, erklären die Betreiber von Reddit allerdings nicht – dass die Protokollsuite SS7 (Signalling System 7), die neben der Signalsisierung im Fest- und Mobilfunk-Netz auch zur Übertragung von SMS benutzt wird, Sicherheitslücken hat, ist jedoch lange bekannt. Vorstellbar ist allerdings auch, dass schlicht ein geklautes oder verlorenes Handy zum Abfangen der SMS an einen bestimmten Mitarbeiter genutzt wurde. (mho)