Rossz módszert választott a kétfaktoros hitelesítés a Redditnek. Bár az alkalmazottaknak kötelezővé tették a használatát, a cég közleményben jelentette be, hogy kiberbűnözőknek sikerült alkalmazotti hozzáféréseken keresztül bejutniuk az oldal belső rendszerébe, és onnan ellopni egy teljes adatbázismentést. Szerencse a szerencsétlenségben, hogy az ellopott adatbázis többek között a közösségi oldalhoz elindításától 2007-ig, tehát a kezdetekkor csatlakozott felhasználók hozzáférési adatait tartalmazta, ráadásul titkosítva és hashelve.

Alkalmazottak accountjain keresztül mentek be

A Reddit-alkalmazottak a vállalati rendszerhez kétfaktoros azonosítással férhetnek hozzá: jelszóval és SMS-ben kapott kóddal. A támadók azonban el tudták fogni az SMS-eket, és így hozzáfértek az oldal egy felhős tárterületéhez. (A felhős rendszerek egyébként az AWS-ben futnak, a Reddit 2009 őszén költözött be az Amazon felhőjébe.)

A feltört tárhelyen a támadók a felhasználói azonosítók mellett hozzáférhettek naplófájlokhoz, konfigurációs állományokhoz, forráskód-elemekhez, valamint olyan munkaterületekhez, melyeken a Reddit-alkalmazottak tároltak különböző adatokat.

A Reddit közlése szerint a június 14-18-a között zajló támadás során a támadók csupán adatokat tudtak lopni, tehát nem tudták olyan jogosultságokat szerezni a belső rendszerekhez, hogy azon távolról kártékony kódokat futtassanak. A támadást egyébként június 19-én detektálták, és azonnal megkezdték a veszélyek elhárítását és a biztonság megerősítését.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »

A cég azonnal értesítette a hatóságokat és azokkal együttműködve vizsgálatot indított. Az érintett felhasználók emailben kaptak értesítést arról, hogy kompromittálódhatott a hozzáférésük, ezért változtassák meg a jelszavukat. A Reddit emellett minden felhasználónak azt javasolja, hogy térjen át kétfaktoros azonosításra, amit az oldal hitelesítő alkalmazásokon keresztül biztosít.

Két probléma összeadódott

A Redditet ért incidensben két probléma adódott össze. Az SMS-alapú kétfaktoros azonosítás gyengesége, valamint a kiemelt jogosultságokkal rendelkező felhasználók azonosításának problémaköre. Az incidens szépen megmutatta, hogy ma már nagyon kockázatos a jelszó melletti második faktorként egy SMS-ben elküldött, egyszer használatos kódot használni.

Az SMS-re épülő azonosításról már évek óta lehet tudni, hogy nem biztonságos: az egyszeri kódot tartalmazó SMS átirányítható más telefonszámra. Ez a veszély egyáltalán nem elméleti lehetőség. Több banki incidens után (a módszert sok pénzintézet alkalmazza ma is) az amerikai szabványügyi hivatal, a NIST (National Institute of Standards and Technology) két éve azt javasolta, hogy általánosan vezessék ki az SMS-alapú kétfaktoros azonosítást.

A másik probléma a privilegizált felhasználók hozzáférésének kezelése. A Reddit-incidens is arra hívja fel a figyelmet, hogy magas jogosultsággal rendelkező alkalmazottak hozzáférését külön kell kezelni. Maga a Reddit is említi az intézkedései között az ilyen hozzáférési pontok biztonságának a megerősítését erősebb titkosítással, szigorúbb naplózással és a tokenalapú kétfaktoros azonosítás bevezetésével.

A legtöbben a fizikai tokenre esküsznek

Ma az USB-s tokenalapú megoldás tűnik a legbiztonságosabbnak. A GitHub például 2015-től felkínálja a lehetőséget. Google sokkal radikálisabbat lépett: alkalmazottai körében a tavaly év elejétől tette kötelezővé a tokenre épülő kétfaktoros azonosítást. Ráadásul a keresőcég nem csak a magas jogosultságú felhasználók esetében ilyen szigorú: mind a 85 ezer alkalmazottja csak így tud bejelentkezni vállalati fiókjába. A vállalat szóvivője azt nyilatkozta a Krebbs on Securitynak, hogy a tokenes kétfaktoros azonosítás bevezetése óta nem voltak olyan incidensek, adathalász tevékenységek, amelyek az alkalmazotti hozzáférések kompromittálódásával függtek össze.

A Google egyébként üzletet is lát az USB-s tokenekben. A vállalat a napokban jelentette be, hogy piacra dobja az általa fejlesztett és belső rendszeriben használt tokeneket felhős ügyfeleinek. A FIDO (Fast Identity Online) iparági szövetséggel közösen kifejlesztett tokenek ára ugyan nem ismert, de mint a CNBC írja, az ilyen hardvereszközök 20 dollár körüli áron kerülnek piacra.