Reddit遭到入侵：攻击者在员工帐户中绕过了双因素身份验证

信息安全专家早就警告说，双因素认证方案，与手机相连，并一次性代码的短信信息，不能被认为是可靠的。因此，在2016年标准与技术研究所（美国国家标准与技术研究所 ，NIST） 提出了一个有趣的文件，根据这些，双因素认证实施使用短信信息是“不可接受的”和“不安全”。

Reddit员工发生的事件再次证明了这一系统的不安全性。该事件的一个关键方面刚刚开始绕过双因素身份验证：罪犯总算拦截受害者的短信信息。事实上，这意味着第一个罪犯是能够破解雇员的帐户（因为它发生，没有指定），然后绕到和双因素认证。

究竟是如何实现的，Reddit的代表再次没有说明，但是可以有很多选择。例如，攻击者可以利用在SS7漏洞，可以实现所谓的SIM交换，即重新释放的受害者的SIM卡，请联系您的网络提供商和应用社会工程，或克隆的SIM卡。

我注意到，在最近几年的SIM卡上这种攻击是说，写了很多，尤其是在2018年7月新闻记者副主板公布结果 的调查，证明这种做法是广泛被黑客使用，使他们能够“偷”证书记录和其他人的身份在几十和几百。

但回到Reddit妥协。

据报道，事件发生在2018年7月14日至18日之间，并且在7月19日发现了渗透事件。攻击者攻击了一些未命名的Reddit员工，并渗入了多个系统，获得了对数据的访问权限。因此，黑客得到了用户的电子邮件地址，以及2007年5月的数据库备份。自Reddit于2005年成立并获得以来，该数据库包含该网站两年的所有信息，包括其所有内容和用户消息（包括个人信息），以及旧的散列密码和盐。

该公司的代表认为，犯罪分子无法在受感染的服务器上进行写入，因此无法替换或扭曲任何重要数据。尽管如此，开发人员仍然增加了安全性（例如，更改了API密钥）和监控。

不幸的是，从黑客那里获取阅读权，因此他们设法不仅窃取了上述数据库，而且还获取了2018年6月3日至7月7日期间发送的更新近的电子邮件摘要。这些有趣和推荐的帖子集合包含有关用户名和相关电子邮件地址的信息。

此外，攻击者还可以访问Reddit源代码，内部文档，日志和员工工作文件。但是，由于用户数据被盗更为关键，因此尚未报告此细节。

未调用受损用户的确切数量，但公司确保将相应通知所有受害者。此外，鼓励在2007年之前在网站上注册的所有用户更改密码，如果由于某种原因他们已经超过10年没有这样做。

如上所述，Reddit开发人员目前正在努力加强安全和监控措施，并已被执法机构通知此事件。在官方消息中通过SMS进行双因素身份验证的不安全性直接被称为发生事件的主要原因。因此，现在Reddit员工将从SMS切换到使用2FA-tokens。