Reddit Breache暴露2FA缺陷
新的聚合服务Reddit已承认其一些系统在员工账户随着双因素身份验证(2FA)的情况下遭到泄露的员工账户后,员工账户遭到泄露的员工账户。
虽然除了密码作为提高账户安全的方法之外,2FA是广泛推荐的,但是已知已缺陷的绑定使用的移动文本(SMS)的reddit使用的移动文本(SMS)。
“我们了解到,正如我们希望的那样,SMS的身份验证并不像我们希望的那样安全,并且主要攻击是通过SMS拦截的,”Reddit在一份声明中说。
“我们指出了这一点,鼓励在这里搬到基于令牌的2FA,”公司补充道。
该公司表示,这导致了Reddit用户当前电子邮件地址的曝光和2007年,其中2007年,该公司表示,在6月14日至18日之间的旧盐水和散列密码。
网络入侵者也被认为已经访问了6月3日至6月17日之间发送的电子邮件摘要,其中包括用户名及其相关的电子邮件地址以及Reddit建议的帖子。
“虽然这是一个严重的攻击,攻击者没有获得对Reddit系统的写入访问; Reddit表示,他们获得了对包含备份数据,源代码和其他日志的某些系统的只读访问权限。“
由于违约而言,Reddit表示,它已经开展了“艰苦的调查”,以确定有哪些数据暴露并改善其系统和流程。
Reddit表示,如果有机会反映了账户的当前密码,则曾向执法部门报告过法律执法并与其调查合作,向账户持有人发送警报,并采取措施保证对Reddit系统的额外访问措施的核算,并采取措施更安全,包括增强的日志记录,更多加密,并要求基于令牌的2FA获取条目。
Reddit已建立其帐户凭据受到影响以重置其Reddit帐户密码的用户,并为潜在的网络钓鱼诈骗提醒。
“所有用户都建议为所有用户提供强大的独特密码和启用2FA(我们仅通过验证者应用程序提供SMS),”该公司表示。
一些安全评论员表示,突发表明使用短信或电话发送用户一次性密码(OTP)的2FA仅略高于2FA。
2FA,使用附加到设备登录的安全密钥发送的加密令牌的使用被认为是更安全的,因为它不容易受到基于移动版本的拦截。
基于电话的OTPS已被证明易于一系列拦截方法,包括移动电话号码劫持,移动帐户劫持和利用SS7路由协议中的驾驶协议,该协议在全球范围内的运营商来确保其网络互操作。
Amperva的安全研究员Koby Kilimnik表示,如果泄露的所有密码确实哈希且盐渍,则会需要攻击者更多的时间来破解那些密码并使它们可以找到和计算每个inpidual哈希值。
“尽管如此,我仍然建议改变你的reddit密码,如果你不喜欢垃圾邮件,你可能还想开始使用不同的电子邮件帐户,因为泄露的电子邮件可能会发现他们进入一些垃圾邮件发送者的数据库,”他说。
Tripwire的安全研究员Craig Young,虽然SMS拦截是机会主义的财务欺诈中的常见技巧,但听到在这种类型的公共服务攻击中使用这种方法的常见是很常见的。
“虽然任何形式的多因素认证都是对简单密码模型相当大的改进,但是基于SMS的验证令牌可以用各种众所周知的技术被盗,”他说。
据年轻,亚律师在现代电话路由中心的信号系统7(SS7)协议中可能利用了众所周知的弱点。
“或者他们可以简单地打电话给受害者的蜂窝提供商,并确信他们将电话号码转移到一个新的SIM,”他说。“在同一蜂窝覆盖区域内的攻击者,因为受害者甚至可以用几百美元的设备拦截和解密SMS。
“这个故事的寓意是,基于SMS的2因素认证不应被视为坚定的攻击者的”强“。”