Hackers driblaram sistema de segurança de dois fatores do Reddit

Steve Ragan, CSO
03 de agosto de 2018 - 07h00
Invasores conseguiram comprometer contas em provedores de hospedagem de código-fonte e nuvem, contornando o que se acreditava serem defesas sólidas

O Reddit afirmou que alguém conseguiu comprometer as contas das equipes em seus provedores de hospedagem de código-fonte e nuvem, deixando backups, código-fonte e vários logs expostos.

Como resultado, eles estão notificando alguns usuários que mantiveram contas no site antes de 2007, pois suas contas foram afetadas. De acordo com os engenheiros fundadores do site, o incidente foi descoberto em 19 de junho último.

Em algum momento entre 14 e 18 de junho, os invasores conseguiram comprometer as contas de funcionários em provedores de hospedagem de código-fonte e nuvem, contornando o que se acreditava serem defesas sólidas usando autenticação de múltiplos fatores (2FA).

"Já tendo nossos principais pontos de acesso para código e infraestrutura por trás de uma autenticação forte que exige autenticação de dois fatores, aprendemos que a autenticação baseada em SMS não é tão segura quanto esperávamos, já que o principal ataque foi via interceptação de SMS. Nós avisamos isso para encorajar todos a se mudarem para a autenticação baseada em tokens”, explicaram.

Como regra geral, o Reddit exigia que as pessoas usassem o TOTP (Time-based One-Time Password), porque era sabido que o 2FA baseado em texto tinha problemas. “Mas há situações em que não podemos aplicar totalmente isso em alguns de nossos provedores, pois há outros canais de redefinição de SMS que não podemos desativar por meio da política da conta”, comentam.

Os invasores conseguiram obter acesso somente a leitura a dados de backup, código-fonte e outros registros, mas não puderam alterar nenhuma outra informação do Reddit.

Desde então, o site reforçou sua postura de segurança, mas estão entrando em contato com usuários que foram impactados pelo incidente com seus endereços de e-mail e, em alguns casos, exposição de mensagens privadas.

Os backups acessados pelos atacantes continham uma cópia completa de um banco de dados antigo, abrigando os dados do Reddit de 2005 até 2007. Ou seja, qualquer pessoa que criou uma conta do Reddit após 2007 não foi afetada.

No entanto, o invasor também obteve acesso a registros contendo resumos de e-mail enviados entre 2 de junho e 17 de junho de 2018. Os e-mails de resumo são recapitulações básicas de subreddits de trabalho seguro que um determinado usuário assina, mas podem conectar um endereço de e-mail a um nome de usuário.

"Se você não tiver um endereço de e-mail associado à sua conta ou se sua preferência de usuário 'e-mails digests' tiver sido desmarcada durante esse período, você não será afetado", afirmam.

De acordo com os engenheiros, “se as credenciais da sua conta foram afetadas e há uma chance de as credenciais se relacionarem com a senha que você está usando no Reddit, nós faremos com que você redefina a senha da sua conta. Se o Reddit solicitar ou não que você altere sua senha, pense se você ainda usa a senha que você usou no Reddit 11 anos atrás em qualquer outro site hoje. Uma senha única forte e habilitar 2FA (que nós fornecemos somente através de um aplicativo autenticador, não SMS) são recomendados para todos os usuários, assim como estar alerta para possíveis phishing ou golpes”.