Mais um motivo pelo qual a autenticação de duas etapas por SMS é uma péssima ideia: o Reddit divulgou na quarta-feira (1º) que sofreu um ataque hacker entre os dias 14 e 18 de junho, que resultou no acesso indevido a um backup antigo com hashes de senhas, nomes de usuário, endereços de e-mail e as publicações do site. O “ataque principal foi via interceptação de SMS”, segundo o Reddit.

O Reddit afirma que todos os dados até maio de 2007 foram acessados — ou seja, afetou os primeiros usuários do site, que foi lançado em 2005. De acordo com o Reddit, “um invasor comprometeu algumas contas de nossos funcionários com acesso aos serviços de nuvem e hospedagem de código-fonte”. O hacker também obteve permissão de leitura em arquivos de configuração do servidor, logs internos e documentos de trabalho de funcionários.

“Já tendo nossos principais pontos de acesso de código e infraestrutura por trás de uma autenticação forte que requer autenticação em dois fatores (2FA), aprendemos que a autenticação baseada em SMS não é tão segura quanto esperávamos, e o principal ataque foi via interceptação de SMS. Nós ressaltamos isso para encorajar todos aqui a mudarem para a 2FA baseada em token”, diz o Reddit.

Como já explicamos, a rede SS7 (Sistema de Sinalização 7), que é utilizada para gerenciar ligações telefônicas e mensagens de texto, tem falhas conhecidas e pode ser a causa de um ataque a uma conta — especialmente em serviços que ainda mandam códigos de recuperação por SMS. Por isso, é uma boa prática remover seu número de celular e ativar a autenticação em duas etapas baseada em token (por meio de apps como Google Authenticator e Authy) nos serviços que utiliza.

Quanto ao Reddit, todos os usuários que foram afetados pelo ataque estão sendo notificados por e-mail ou mensagem privada, e a empresa já alertou as autoridades sobre a invasão.