Een aanvaller heeft verschillende systemen van de populaire website Reddit weten te hacken nadat hij inlogcodes die via sms waren verstuurd had onderschept. Dat heeft Reddit zelf bekendgemaakt. Volgens de website wist de aanvaller tussen 14 en 18 juni verschillende accounts van medewerkers te compromitteren waarmee toegang tot de cloud- en broncode-hostingproviders van Reddit kon worden verkregen.
De accounts waren met tweefactorauthenticatie beveiligd, wat inhoudt dat naast een wachtwoord ook een extra inlogcode moet worden verstrekt. In het geval van de Reddit-accounts werden de extra inlogcodes via sms verstuurd en wist de aanvaller deze codes te onderscheppen, aldus de verklaring van Reddit. De aanvaller wist vervolgens toegang te krijgen tot een back-up van Reddit met alle gegevens van 2005 tot en met 2007, waaronder accountgegevens van gebruikers. Het gaat om gesalte en gehaste wachtwoorden, gebruikersnamen, e-mailadressen, openbare reacties en privéberichten.
Daarnaast werden recente logs met "e-mail digests" benaderd. De digests koppelen een gebruikersnaam aan een e-mailadres en bevatten berichten van populaire subreddits waar gebruikers zich op hebben geabonneerd. Om herhaling te voorkomen heeft Reddit verschillende maatregelen genomen, waaronder het vervangen van sms-gebaseerde tweefactorauthenticatie door tokengebaseeerde tweefactorauthenticatie. Ook worden gebruikers geïnformeerd waarvan het huidige wachtwoord op de gestolen inloggegevens lijkt.
Deze posting is gelocked. Reageren is niet meer mogelijk.