- Dołączył
- 26 Maj 2015
- Posty
- 19203
- Reakcje/Polubienia
- 55885
źródło:Najlepiej uczyć się na cudzych incydentach – a raport po włamaniu do Reddita jasno pokazuje, że wdrożenie dwuskładnikowego uwierzytelnienia opartego o kody SMS nie wystarcza do zabezpieczenia wartościowego celu.
Prędzej czy później zdarzy się to każdemu. Niektórym już się zdarzyło, ale do tej pory o tym nie wiedzą – lub wiedzą, ale wstydzą się opowiedzieć. Tym bardziej należy docenić otwartość Reddita, któryZaloguj lub Zarejestruj się aby zobaczyć!i podał całkiem sporo szczegółów incydentu.
SMSy nie pomogły
Między 14 a 18 czerwca atakujący uzyskali dostęp do kilku kont administratorów Reddita u „dostawców usług chmurowych i usług hostingu kodu źródłowego”. Nie padły nazwy dostawców – ale pewnie chodziło o firmy typu AWS czy GitHub. Reddit podkreśla, że konta były zabezpieczone za pomocą dwuskładnikowego uwierzytelnienia, opartego o kody SMS, lecz nie stanowiło to przeszkody dla atakujących – po prostu przejęli odpowiednie SMSy. Komunikat nie wspomina o metodzie przejęcia kodów SMS.
Reddit podkreśla, że atakujący nie uzyskali praw zapisu w jego systemach. Za to udało im się dostać do kopii bezpieczeństwa, części logów i kodu źródłowego. Między innymi dobrali się do pełnej kopii Reddita z roku 2007, zawierającej także dane użytkowników zarejestrowanych do momentu utworzenia backupu, wraz ze skrótami ich haseł. Jeśli nie pamiętacie, kiedy założyliście konto na Reddicie, to czekajcie na emaila – wszyscy, których dane mogły wpaść w ręce włamywaczy, otrzymają wiadomość od serwisu a ich hasła zostały zmienione. Innymi danymi, do których dostali się włamywacze, byłyZaloguj lub Zarejestruj się aby zobaczyć!wysyłanymi między 7 a 17 czerwca, zawierające adresy email i pseudonimy odbiorców.
Wnioski
Reddit podsumowuje, że czas kodów SMS już przeminął. Sensowną alternatywą dla zastosowań takich jak np. logowanie administratora jest generator kodów jednorazowych w postaci aplikacji, np. Google Authenticator. Istotnie, jest dużo trudniejszy do przejęcia od wiadomości SMS. Jest jednak nadal – podobnie jak SMSy – podatny na phishing, przed którym dużo skuteczniej broni dopiero klucz sprzętowy typu Yubikey, który po prostu nie zadziała na fałszywej stronie. Nie oznacza to jednak, że każdy ma teraz kupić Yubikeya – zabezpieczenie kodem SMS pewnie pozostanie wystarczające dla wielu sytuacji, gdzie potencjalny zysk dla atakującego jest niewielki.
My z kolei chcieliśmy wskazać na relatywnie skuteczne działanie Redditu – włamanie najwyraźniej trwało tylko kilka dni, a włamywaczom nie udało się dostać do najcenniejszych firmowych zasobów, czyli aktualnej bazy użytkowników. Do tego zostali wykryci i najwyraźniej usunięci z firmowej infrastruktury – oby wszystkie firmy mogły pochwalić się takimi czasami detekcji, reakcji oraz takim poziomem jawności podjętych działań.
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
Oficjalny komunikat na
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
