Accounts von Mitarbeitern gehackt: Verlust von User-Daten bei Reddit

Dass auch die Zwei-Faktor-Authentifizierung leider kein Garant für absolute Datensicherheit ist, zeigt der jüngste Hacking-Vorfall bei Reddit: Das Unternehmen hat letzte Woche offiziell bestätigt, dass es Hackern gelungen ist, über das Abfangen von Mitarbeiter-SMS ins Reddit-IT-System einzudringen. Damit nicht genug wurden alle Daten von Usern aus 2005 bis 2007 gestohlen – was besonders heikel sein könnte, da sich auf Reddit ja auch kontroverse Themen finden, von denen die betroffenen Nutzer nicht unbedingt wollen, dass sie mit ihnen in Verbindung gebracht werden.

„Kein Schreibzugriff“ erfolgt

Ereignet hat sich der Angriff bereits im Juni: Von 14. bis 18. Juni hatten die Hacker neben dem Zugriff auf Storage Systeme von Reddit Zugriff auf die genannten Datenbanken aus 2005 bis 2007, darin finden sich auch E-Mail-Adressen, Passwörter und Benutzernamen sowie sämtliche Inhalte, welche der jeweilige User veröffentlich hat, darunter auch private Nachrichten. Allerdings gibt Reddit an, die Hacker hätten „nur Lesezugriff“ gehabt: „Obwohl dies ein schwerer Angriff war, erhielt der Angreifer keinen Schreibzugriff auf Reddit-Systeme, sondern nur Lesezugriff auf einige Systeme, die Backup-Daten, Quellcode und andere Protokolle enthielten.“ Das Unternehmen hat den Vorfall am 19. Juni entdeckt, wollte aber nach eigenen Angaben erst interne Untersuchungen zur Klärung durchführen, bevor es sich an die Öffentlichkeit wendet.

„Nur“ User betroffen, die sich vor 2007 angemeldet haben

Aufatmen können Reddit-User, die sich nach 2007 angemeldet haben. Ihre Daten sind nicht betroffen. All jenen Nutzern, deren Daten gehackt wurden, hat Reddit per E-Mail oder SMS Bescheid gegeben. Betroffene sollen laut Reddit jedenfalls ihre Passwörter ändern, seit 2007 nicht geänderte Passwörter setzt das Unternehmen automatisch zurück. Weiters sollen die User prüfen, ob sie ihre Reddit-Passwörter auch für andere Seiten verwendet haben. Nachdem sich in den Inhalten der User alles Mögliche befinden kann, auch heikle bzw. sogar illegale Themen, empfiehlt Reddit weiter: „Wenn Ihre E-Mail-Adresse betroffen war, denken Sie darüber nach, ob es in Ihrem Reddit-Konto etwas gibt, das Sie nicht mit dieser Adresse in Verbindung bringen möchten. Auf dieser Hilfeseite finden Sie Anweisungen, wie Sie Informationen aus Ihrem Konto entfernen können.“

Hacker fingen Zwei-Faktor-Authentifizierungs-SMS von Mitarbeitern ab

Wenn ein Reddit-Mitarbeiter sich im System anmelden möchte, benötigt er ein SMS zur Zwei-Faktor-Authentifizierung. Über diese SMS sollen die Hacker sich Zutritt verschafft haben, indem sie es abgefangen haben: „Wir haben gelernt, dass die SMS-Authentifizierung nicht so sicher ist, wie wir gedacht haben“, sagt das Unternehmen in seiner Stellungnahme. Damit ein derartiger Angriff in Zukunft (zumindest über diese Schiene) nicht mehr erfolgen kann, sollen Hardware-Tokens eingesetzt werden. Last but not least gab Reddit auch noch an, dass der Angriff über die Datenbanken hinaus noch weitere Ziele hatte – nämlich „Log-Dateien des Reddit E-Mail Digest“. Davon sind jene Nutzer betroffen, welche von 3. bis 17. Juni 2018 den Reddit-Newsletter gelesen haben. Jedenfalls wird der Vorfall nun von den Strafverfolgungsbehörden geprüft. Ob diese den unbekannten Tätern auf die Schliche kommen? Wohl leider eher unwahrscheinlich …

Quelle: Heise, Standard Online


Erstellt am: 7. August 2018

Artikel aus der gleichen Kategorie:

 
Legal Disclaimer VPNTESTER

Schreibe einen Kommentar