Der Social-News-Aggregator Reddit zählt mit mehr als 330 Millionen Besuchern im Monat laut CNBC zu den fünf weltweit beliebtesten Webseiten im Internet. Seit der Gründung im Jahr 2005 teilen und bewerten immer mehr Nutzer Inhalte auf der Seite und diskutieren über die verschiedensten Themen in sogenannten Subreddits. Bei der Menge an Daten, die dabei aufläuft, ist es kein Wunder, dass Reddit im Laufe der Zeit als lohnendes Ziel in den Fokus von Kriminellen geraten ist. Das Unternehmen selbst ist sich dessen auch durchaus bewusst. Erst kürzlich wurde ein neuer Sicherheitschef eingestellt und aktuell sind weitere Stellen in diesem Bereich ausgeschrieben. Darüber hinaus setzt das Unternehmen für seine Mitarbeiter auf eine Zwei-Faktor-Authentifizierung, die eigentlich unerwünschte Eindringlinge aussperren soll. Leider hat diese Maßnahme nicht gegriffen und so konnten Mitte Juni Hacker in die Datenbanken von Reddit eindringen und Nutzerdaten aus der Anfangszeit der Webseite erbeuten.
Interessant ist dabei insbesondere die Art und Weise, wie die Kriminellen vorgegangen sind, denn eine Zwei-Faktor-Authentifizierung gilt eigentlich als relativ sichere Methode, um Hackern das Leben schwer zu machen. Dieser Meinung war man auch bei Reddit, allerdings setzte das Unternehmen auf SMS-Nachrichten bei der Authentifizierung der Mitarbeiter. Um sich Zugang zu den internen Netzwerken zu verschaffen, mussten die Kriminellen also sowohl das Passwort als auch den Code in der SMS des jeweiligen Mitarbeiters eingeben. Nachdem sie auf bislang nicht näher beschriebenen Wegen das Passwort erbeutet hatten, brauchten sie also noch den Code als zweiten Faktor, um sich einzuloggen. Den erhielten sie, indem sie sich eine Kopie der SIM-Karte des Mitarbeiters mit derselben Nummer beschafften. So konnten sie die SMS abfangen. An eine Kopie einer SIM-Karte zu gelangen ist im Übrigen gar nicht so kompliziert. Manchmal reicht schon ein Anruf beim Anbieter, dass die SIM-Karte kaputt sei und man eine neue brauche. Zwar muss man sich dann legitimieren, aber viele Menschen geben die dafür relevanten Informationen wie Geburtstag, Name des Haustiers oder ähnliches ganz öffentlich im Internet preis.
Im Fall von Reddit erbeuteten die Eindringlinge eine komplette Kopie der Datenbank aus den Jahren 2005 bis 2007 inklusive E-Mail-Adressen und Anmeldedaten. Auch einige E-Mails, die zwischen dem 3. und dem 17. Juni 2018 über die Plattform verschickt wurden, sollen den Hackern in die Hände gefallen sein. Die betroffenen Nutzer kontaktiert Reddit in persönlichen Nachrichten oder über die hinterlegten E-Mail-Adressen und empfiehlt, die Passwörter schnellstmöglich zu ändern. Außerdem wurde der Vorfall an die zuständigen Strafverfolgungsbehörden gemeldet. Für die Zukunft zieht Reddit Konsequenzen aus dem Vorfall und wird die Zwei-Faktor-Authentifizierung vom SMS-basierten auf ein Token-basiertes Verfahren umstellen. Ein solches hat auch der Internetriese Google eingeführt. Hier gab es laut Unternehmensangaben seither keine Sicherheitsvorfälle mit Phishing oder ähnlichen Betrugsmaschen mehr.
Interessant ist dabei insbesondere die Art und Weise, wie die Kriminellen vorgegangen sind, denn eine Zwei-Faktor-Authentifizierung gilt eigentlich als relativ sichere Methode, um Hackern das Leben schwer zu machen. Dieser Meinung war man auch bei Reddit, allerdings setzte das Unternehmen auf SMS-Nachrichten bei der Authentifizierung der Mitarbeiter. Um sich Zugang zu den internen Netzwerken zu verschaffen, mussten die Kriminellen also sowohl das Passwort als auch den Code in der SMS des jeweiligen Mitarbeiters eingeben. Nachdem sie auf bislang nicht näher beschriebenen Wegen das Passwort erbeutet hatten, brauchten sie also noch den Code als zweiten Faktor, um sich einzuloggen. Den erhielten sie, indem sie sich eine Kopie der SIM-Karte des Mitarbeiters mit derselben Nummer beschafften. So konnten sie die SMS abfangen. An eine Kopie einer SIM-Karte zu gelangen ist im Übrigen gar nicht so kompliziert. Manchmal reicht schon ein Anruf beim Anbieter, dass die SIM-Karte kaputt sei und man eine neue brauche. Zwar muss man sich dann legitimieren, aber viele Menschen geben die dafür relevanten Informationen wie Geburtstag, Name des Haustiers oder ähnliches ganz öffentlich im Internet preis.
Im Fall von Reddit erbeuteten die Eindringlinge eine komplette Kopie der Datenbank aus den Jahren 2005 bis 2007 inklusive E-Mail-Adressen und Anmeldedaten. Auch einige E-Mails, die zwischen dem 3. und dem 17. Juni 2018 über die Plattform verschickt wurden, sollen den Hackern in die Hände gefallen sein. Die betroffenen Nutzer kontaktiert Reddit in persönlichen Nachrichten oder über die hinterlegten E-Mail-Adressen und empfiehlt, die Passwörter schnellstmöglich zu ändern. Außerdem wurde der Vorfall an die zuständigen Strafverfolgungsbehörden gemeldet. Für die Zukunft zieht Reddit Konsequenzen aus dem Vorfall und wird die Zwei-Faktor-Authentifizierung vom SMS-basierten auf ein Token-basiertes Verfahren umstellen. Ein solches hat auch der Internetriese Google eingeführt. Hier gab es laut Unternehmensangaben seither keine Sicherheitsvorfälle mit Phishing oder ähnlichen Betrugsmaschen mehr.
