Reddit Breache暴露2FA缺陷
医疗公司首次亮相互联网连接的假肢四肢
Gartner说,2018年全球Infosec在2018年支付了1140亿美元
明尼苏达警察寻求谁谷歌入受害者的名字的数据
政府在智能数据上推出公众咨询
ico击中了希思罗机场,超过120,000英镑的数据泄露罚款丢失的USB棒
安全严重的一周功能flash mob活动
Java 9获得7月27日发布日期
Adobe Reader,Edge,Safari和Ubuntu在Pwn2own的第一天秋天
Android升级问题的答案是什么?
美国FCC探讨AT&T 911呼叫中断
欧盟需要明确的5G规则来保证移动成功
Windows 10更新KB 3213986触发系统还原错误0x80070091
谷歌地图现在让您与朋友分享您的确切位置
教育秘书敦促科技产业转变课堂
谷歌为命令行介绍了Python库
瑞典政府和行业涉及IT技能短缺
30米融资推动后,CTERA增强多云
网络犯罪分子在网络安全战战中卖出企业
Convide Messaging App中的安全漏洞公开用户详细信息
与Droddle的M&S合作伙伴更轻松地点击和收集回报
德克萨斯医院努力使IBM的Watson治愈癌症
Google Drive将让用户从云中流流文件
Pharmacy2u签署数字通信平台
机器身份管理危机迫在眉睫
美国立法者问题警察使用面部识别技术
Meizu技术可以在20分钟内收取智能手机
SAP如何乘坐亚洲的增长故事
政府推出数字经济竞争审查
Synercale DataceRe Capex Investments击中了新的高峰,协同研究表明
公民咨询使超级投诉对RIP-OFF电话费
ico罚款艾玛的日记140,000英镑
三星Bixby - 虚拟助手可以做什么
这个微小的芯片可以彻底改变智能手机和IOT安全性
迪拜卫生管理局发起人工智能战略
国家档案部署出口以支持FOI请求
CIO欢迎回到营销
Amnesty International创造了人权数字档案
Apple,Microsoft和Amazon为云存储提供了英国消费者更公平的交易
Techuk说,当地议会应该有一个董事会层面的数字领导者
Via的360度VR摄像头船舶低于100美元
Microsoft阻止Win7 / 8.1 kaby湖和雷塞芯片的更新吗?
空中客车保护欧洲机构反对网络威胁
富士通与UTCS在网络安全培训上
暗网网络犯罪市场蓬勃发展
CIO不确定Brexit如何影响他们雇用IT人员的能力
东芝揭示了可以存储1TB的新型3D闪存芯片
Microsoft将在4月份杀死一些Windows 7和8.1支持
途中更好的智能手机相机
Sage收购赛量:这是基于Salesforce的策略要上班吗?
您的位置:首页 >论坛 > 电子业界 >

Reddit Breache暴露2FA缺陷

2021-08-10 19:44:09 [来源]:

新的聚合服务Reddit已承认其一些系统在员工账户随着双因素身份验证(2FA)的情况下遭到泄露的员工账户后,员工账户遭到泄露的员工账户。

虽然除了密码作为提高账户安全的方法之外,2FA是广泛推荐的,但是已知已缺陷的绑定使用的移动文本(SMS)的reddit使用的移动文本(SMS)。

“我们了解到,正如我们希望的那样,SMS的身份验证并不像我们希望的那样安全,并且主要攻击是通过SMS拦截的,”Reddit在一份声明中说。

“我们指出了这一点,鼓励在这里搬到基于令牌的2FA,”公司补充道。

该公司表示,这导致了Reddit用户当前电子邮件地址的曝光和2007年,其中2007年,该公司表示,在6月14日至18日之间的旧盐水和散列密码。

网络入侵者也被认为已经访问了6月3日至6月17日之间发送的电子邮件摘要,其中包括用户名及其相关的电子邮件地址以及Reddit建议的帖子。

“虽然这是一个严重的攻击,攻击者没有获得对Reddit系统的写入访问; Reddit表示,他们获得了对包含备份数据,源代码和其他日志的某些系统的只读访问权限。“

由于违约而言,Reddit表示,它已经开展了“艰苦的调查”,以确定有哪些数据暴露并改善其系统和流程。

Reddit表示,如果有机会反映了账户的当前密码,则曾向执法部门报告过法律执法并与其调查合作,向账户持有人发送警报,并采取措施保证对Reddit系统的额外访问措施的核算,并采取措施更安全,包括增强的日志记录,更多加密,并要求基于令牌的2FA获取条目。

Reddit已建立其帐户凭据受到影响以重置其Reddit帐户密码的用户,并为潜在的网络钓鱼诈骗提醒。

“所有用户都建议为所有用户提供强大的独特密码和启用2FA(我们仅通过验证者应用程序提供SMS),”该公司表示。

一些安全评论员表示,突发表明使用短信或电话发送用户一次性密码(OTP)的2FA仅略高于2FA。

2FA,使用附加到设备登录的安全密钥发送的加密令牌的使用被认为是更安全的,因为它不容易受到基于移动版本的拦截。

基于电话的OTPS已被证明易于一系列拦截方法,包括移动电话号码劫持,移动帐户劫持和利用SS7路由协议中的驾驶协议,该协议在全球范围内的运营商来确保其网络互操作。

Amperva的安全研究员Koby Kilimnik表示,如果泄露的所有密码确实哈希且盐渍,则会需要攻击者更多的时间来破解那些密码并使它们可以找到和计算每个inpidual哈希值。

“尽管如此,我仍然建议改变你的reddit密码,如果你不喜欢垃圾邮件,你可能还想开始使用不同的电子邮件帐户,因为泄露的电子邮件可能会发现他们进入一些垃圾邮件发送者的数据库,”他说。

Tripwire的安全研究员Craig Young,虽然SMS拦截是机会主义的财务欺诈中的常见技巧,但听到在这种类型的公共服务攻击中使用这种方法的常见是很常见的。

“虽然任何形式的多因素认证都是对简单密码模型相当大的改进,但是基于SMS的验证令牌可以用各种众所周知的技术被盗,”他说。

据年轻,亚律师在现代电话路由中心的信号系统7(SS7)协议中可能利用了众所周知的弱点。

“或者他们可以简单地打电话给受害者的蜂窝提供商,并确信他们将电话号码转移到一个新的SIM,”他说。“在同一蜂窝覆盖区域内的攻击者,因为受害者甚至可以用几百美元的设备拦截和解密SMS。

“这个故事的寓意是,基于SMS的2因素认证不应被视为坚定的攻击者的”强“。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。