2018-08-06

Logowanie do aplikacji na telefonie | Cybernews: Administratorzy Reddita rezygnują z haseł SMS

Administratorzy portalu Reddit poinformowali o incydencie, który miał miejsce w czerwcu. Przestępcy przejęli konta pracowników pomimo stosowania 2FA.

W zeszłą środę (01.08) administratorzy portalu Reddit poinformowali o incydencie, który miał miejsce w czerwcu. Pomiędzy 14. a 18. czerwca kilku pracowników portalu padło ofiarą ataku. Ich konta zostały przejęte przez przestępców pomimo stosowania dwuskładnikowego uwierzytelnienia. W ogłoszeniu nie zostały przedstawione szczegóły ataku, jedynie zawarta jest w nim informacja, że atakujący przechwycili wiadomości SMS z tokenem 2FA.

Wykorzystywanie wiadomości SMS w procesie dwuskładnikowego uwierzytelnienia było już niejednokrotnie wskazywane jako potencjalnie niebezpieczne. Organizacja NIST w swojej publikacji 800-63B Digital Identity Guidelines wskazuje ryzyka związane z wykorzystywaniem różnych form dwuskładnikowego uwierzytelnienia, w tym również wiadomości SMS. Atakujący mogą pozyskać przesyłany token poprzez ataki mające na celu przekierowanie wiadomości SMS na inny numer. Mogą też wykorzystać złośliwe oprogramowanie do zainfekowania telefonu ofiary, wyłudzić od operatora duplikat karty SIM lub po prostu uzyskać fizyczny dostęp do telefonu.

W podsumowaniu swojego oświadczenia załoga Reddita informuje, że rezygnuje ze stosowania wiadomości SMS w procesie dwuskładnikowego uwierzytelnienia. Dodatkowo, zalecają użytkownikom portalu uruchomienie 2FA z wykorzystaniem aplikacji uwierzytelniającej (Authenticator App).

Źródła:

https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/

https://pages.nist.gov/800-63-3/sp800-63b.html (rozdział 8.1 Authenticator Threats)

Bądź z nami w kontakcie