Zhakowali Reddita – i to pomimo kodów SMS dla kont administratorów

dodał 1 sierpnia 2018 o 23:55 w kategorii Włamania  z tagami:
Zhakowali Reddita – i to pomimo kodów SMS dla kont administratorów

Najlepiej uczyć się na cudzych incydentach – a raport po włamaniu do Reddita jasno pokazuje, że wdrożenie dwuskładnikowego uwierzytelnienia opartego o kody SMS nie wystarcza do zabezpieczenia wartościowego celu.

Prędzej czy później zdarzy się to każdemu. Niektórym już się zdarzyło, ale do tej pory o tym nie wiedzą – lub wiedzą, ale wstydzą się opowiedzieć. Tym bardziej należy docenić otwartość Reddita, który ogłosił fakt zostania ofiarą włamania i podał całkiem sporo szczegółów incydentu.

SMS-y nie pomogły

Między 14 a 18 czerwca atakujący uzyskali dostęp do kilku kont administratorów Reddita u „dostawców usług chmurowych i usług hostingu kodu źródłowego”. Nie padły nazwy dostawców, ale pewnie chodziło o firmy typu AWS czy GitHub. Reddit podkreśla, że konta były zabezpieczone za pomocą dwuskładnikowego uwierzytelnienia, opartego o kody SMS, lecz nie stanowiło to przeszkody dla atakujących – po prostu przejęli odpowiednie SMS-y. Komunikat nie wspomina o metodzie przejęcia kodów SMS.

Reddit podkreśla, że atakujący nie uzyskali praw zapisu w jego systemach. Za to udało im się dostać do kopii bezpieczeństwa, części logów i kodu źródłowego. Między innymi dobrali się do pełnej kopii Reddita z roku 2007, zawierającej także dane użytkowników zarejestrowanych do momentu utworzenia backupu wraz ze skrótami ich haseł. Jeśli nie pamiętacie, kiedy założyliście konto na Reddicie, to czekajcie na e-maila – wszyscy, których dane mogły wpaść w ręce włamywaczy, otrzymają wiadomość od serwisu, a ich hasła zostały zmienione. Innymi danymi, do których dostali się włamywacze, były logi e-maili z najciekawszymi wpisami wysyłanymi między 7 a 17 czerwca, zawierające adresy e-mail i pseudonimy odbiorców.

Wnioski

Reddit podsumowuje, że czas kodów SMS już przeminął. Sensowną alternatywą dla zastosowań takich jak np. logowanie administratora jest generator kodów jednorazowych w postaci aplikacji, np. Google Authenticator. Istotnie, jest dużo trudniejszy do przejęcia od wiadomości SMS. Jest jednak nadal, podobnie jak SMS-y, podatny na phishing, przed którym dużo skuteczniej broni dopiero klucz sprzętowy typu Yubikey, który po prostu nie zadziała na fałszywej stronie. Nie oznacza to jednak, że każdy ma teraz kupić Yubikeya – zabezpieczenie kodem SMS pewnie pozostanie wystarczające dla wielu sytuacji, gdzie potencjalny zysk dla atakującego jest niewielki.

My z kolei chcieliśmy wskazać na relatywnie skuteczne działanie Reddita – włamanie najwyraźniej trwało tylko kilka dni, a włamywaczom nie udało się dostać do najcenniejszych firmowych zasobów, czyli aktualnej bazy użytkowników. Do tego zostali wykryci i najwyraźniej usunięci z firmowej infrastruktury. Oby wszystkie firmy mogły pochwalić się takimi czasami detekcji, reakcji oraz takim poziomem jawności podjętych działań.