L’Outil Surpuissant pour Exploser ton Chiffre d'Affaires en 2024 !
Reddit piraté, malgré l'authentification à deux facteurs SMS
Le hacker a accédé aux systèmes internes de Reddit en contournant l'authentification à deux facteurs basée sur SMS sur les comptes des employés.
3 min de lecture
Cette histoire a été initialement publiée le PCMag
Reddit a rapporté mercredi une violation de données. La bonne nouvelle? Rien de trop grave n'a probablement été volé. Les mauvaises nouvelles? Au cours de l'intrusion de la mi-juin, le pirate a accédé à une ancienne sauvegarde de Reddit contenant des données utilisateur telles que hashed mots de passe de 2007. Le coupable a également consulté les journaux de " digests de Reddit", qui peut associer un nom d'utilisateur avec une adresse e-mail, si vous l'avez fourni.
En d'autres termes, la violation semble avoir seulement exposé des informations d'adresse email pour les utilisateurs existants et mot de passe brouillé "L'attaquant n'a pas obtenu l'accès en écriture aux systèmes Reddit, ils ont acquis un accès en lecture seule à certains systèmes qui contenaient des données de sauvegarde, le code source et d'autres journaux," Reddit l'ingénieur "KeyserSosa" a déclaré dans un poste détaillant l'incident de sécurité.
Néanmoins, la violation fait sonner l'alarme dans la communauté de la sécurité informatique parce que l'attaquant a fait cela en entrant dans les comptes des employés. ect par authentification à deux facteurs .
Ces comptes ont été configurés pour non seulement besoin d'un mot de passe lors de la connexion, mais aussi d'un mot de passe unique qui aurait été envoyé via le SMS.
"Nous avons appris que l'authentification par SMS n'est pas aussi sûre que nous l'espérions, et l'attaque principale s'est faite par interception de SMS", a déclaré KeyserSosa de Reddit, sans donner plus de précisions. messages? Ce n'est pas aussi difficile qu'on pourrait le penser. Dans le passé, les cybercriminels ont assumé l'identité d'une victime pour tromper les fournisseurs de services cellulaires en leur donnant essentiellement accès au numéro de téléphone de la personne. Les pirates ayant plus d'expertise technique et le bon matériel peuvent également manipuler les technologies cellulaires pour collecter des messages SMS à proximité ou usurper temporairement le numéro de téléphone de quelqu'un.
Quoi qu'il en soit, Reddit utilise l'incident de sécurité pour encourager le public à passer à l'authentification à deux facteurs non basée sur SMS. Cela implique que votre smartphone génère le code d'accès spécial à usage unique sur une application . Une autre solution consiste à utiliser une clé de sécurité matérielle, ce que Google a fait pour arrêter le phishing sur les comptes des employés de l'entreprise.
Si vous n'avez pas d'authentification à deux facteurs, c'est une bonne idée pour l'utiliser sur vos comptes les plus importants, comme Facebook ou votre banque, qui peut généralement être activé dans la page des paramètres. Même l'authentification par SMS est préférable à la simple protection de votre compte avec un mot de passe.
Pour les utilisateurs de Reddit dont les informations de connexion ont été volées, le site Web réinitialisera les mots de passe et les messages des utilisateurs concernés.
"Si Reddit vous invite à modifier votre mot de passe, pensez-vous si vous utilisez toujours le mot de passe que vous avez utilisé sur Reddit il y a 11 ans sur d'autres sites aujourd'hui?", a déclaré le site.
Source link