Reddit взломали.
Злоумышленникам удалось вытянуть логины, электронные адреса, пароли (к счастью, соленые и хешированные), а также всю переписку вплоть до личных сообщений пользователей, зарегистрированных в социальной сети до 2007 года.
Также в руки хакерам попали емейлы и логины всех пользователей, которые получали новостную рассылку в июне 2018.
Подвела SMS-аутентификация. Атакующие смогли перехватить SMS сообщения с одноразовыми паролями и получили доступ к аккаунтам нескольких сотрудников Reddit.
Давайте разберемся:
- Что именно произошло и что делает Реддит, чтобы минимизировать последствия взлома?
- Кто пострадал и как понять стали ли вы жертвой взлома Реддит?
- Почему двухфакторная аутентификация с помощью SMS подвела и чем можно заменить SMS сообщения, если вы еще этого не сделали.
Reddit just disclosed a breach, says it’s still investigating severity. Of particular note was that the intruders managed to bypass SMS-based two-factor authentication in the compromise. https://t.co/LCu6XAVn34 This is why physical 2-factor or at least app-based 2FA is superior.
— briankrebs (@briankrebs) August 1, 2018
Как взломали Reddit
19 июня 2018 года команда Реддита поняла, что произошла утечка данных. Сам взлом случился где-то между 14 и 18 июня. Злоумышленникам удалось скомпрометировать несколько учетных записей сотрудников Reddit с доступом к облаку и исходному коду.
Вход в аккаунты сотрудников был защищен двухфакторной аутентификацией, но по старой традиции одноразовые пароли доставлялись через SMS сообщения. Атакующие перехватили SMS с одноразовыми паролями и смогли обойти строгую аутентификацию. Если бы весь штат сотрудников Реддит использовал аппаратные токены, у хакеров не было бы шансов на успех.
Несмотря на серьезность атаки, злоумышленники не смогли внести какие-либо изменения в систему. У них был только доступ для чтения. Тем не менее, они могли видеть исходный код, конфигурационные файлы, внутренние логи и скачивать бэкапы.
Таким образом, в руки хакерам попали все данные о пользователях и работе форума со дня основания Реддит и до 2007 года. Также злоумышленники скачали базу электронных адресов пользователей, которые получали email рассылку в июне 2018.
Что предпринял Reddit
Прежде всего, администраторы Reddit усили защиту систем логирования, шифрования, мониторинга, и отказались от SMS-аутентификации в пользу программных и аппаратных OTP токенов.
Об инциденте заявили в правоохранительные органы, было начато расследование.
Пользователям Реддит, которые могли пострадать, отправили сообщения с информацией о произошедшем и просьбой позаботиться о безопасности собственных аккаунтов — изменить пароли, подключить двухфакторную аутентификацию. Подробная инструкция о том как активировать двухфакторную аутентификацию в Reddit доступна здесь.
So is Reddit actually emailing people who had their addresses and usernames exposed? The way this reads, it doesn’t sound like it and they’re relying on people to check if they’ve been receiving email digests and draw a conclusion from that, right? https://t.co/s2pFDAD9NN
— Troy Hunt (@troyhunt) August 1, 2018
Кто пострадал от взлома Реддит
Команда Реддит не раскрывает количество пострадавших пользователей. Но, без сомнения, речь идет о миллионах людей.
Условно пострадавших можно разделить на 2 группы:
- Все, кто зарегистрировались на сайте до мая 2017 года включительно.К хакерам попал бэкап, датированный маем 2007 года, а значит и все данные, которые хранились в базах данных Reddit от момента основания (2005 год) до мая 2007. Здесь и имена пользователей с паролями, и адреса электронной почты, и весь контент, размещенный пользователями на сайте, и личная переписка. Пароли были соленые и хешированные, что хорошо.Как понять что вы пострадали? Пользователи Reddit, которые попали в эту группу, получат сообщения с просьбой изменить пароль и инструкциями как это сделать.
- Все, кто был подписан на email рассылку Reddit и получал ее 3-17 июня 2018 года.К хакерам попали данные по email рассылкам, которые проводились с 3 по 17 июня 2018 года. Это и сами шаблоны рассылок и база электронных адресов с привязкой к именам пользователей на сайте Reddit.Как понять что вы пострадали? Проверьте получали ли вы письма с адреса [email protected] в период с 3 по 17 июня 2018 года.
| Читайте также: Хакерские атаки на Украину в 2017 году. Какие выводы были сделаны?
Почему двухфакторная аутентификация с помощью SMS подвела
«Already having our primary access points for code and infrastructure behind strong authentication requiring two factor authentication (2FA), we learned that SMS-based authentication is not nearly as secure as we would hope, and the main attack was via SMS intercept.” — Reddit
SMS аутентификация все еще очень популярна. Компаниям удобно рассылать SMS сообщения вместо того, чтобы закупать отдельные аппаратные токены и раздавать их пользователям или попросить людей устанавливать дополнительные приложения на смартфоны.
Конечно же, SMS аутентификация — это лучше, чем просто логин и пароль. Но, есть ряд причин по которым использование SMS сообщений для двухфакторной аутентификации считается небезопасным.
- Риск подмены SIM-карты.Злоумышленник заказывает перевыпуск SIM-карты с номером телефона жертвы. И все. Одноразовые пароли приходят прямо в руки хакеру!В большинстве случаев для замены SIM карты нужно не так много информации — несколько номеров телефонов, на которые звонил абонент в последнее время, адрес и 4 последние цифры номера социального страхования, если речь идет об операторах в США, в некоторых случаях номер кредитной карты.Подобные данные часто продаются в даркнете, а что-то можно элементарно подслушать, подсмотреть, выведать с помощью социальной инженерии, найти в соцсетях, подделать.Иногда достаточно и вовсе разжалобить работника сервисного центра или же оказаться его хорошим знакомым.
- Уязвимость сетей сотовой связи.Безопасность SMS аутентификации полностью зависит от безопасности сетей сотовой связи по которым и передаются сообщения с одноразовыми паролями. Хакерские атаки на сотовые сети через протокол SS7 не редкость, поэтому полагаться на то, что SMS сообщение невозможно перехватить, было бы глупо.SMS сообщения по умолчанию не шифруются, что также играет на руку злоумышленнику. Перехватив SMS сообщение с одноразовым паролем, он сможет сразу же использовать его в своих мошеннических целях.Более того, SMS сообщения хранятся открытым текстом в незашифрованном виде в SMS центре до того момента, пока они не будут успешно доставлены абонентам. Любой сотрудник SMS центра с соответствующим доступом может увидеть или даже изменить сообщение. Есть и соответствующие шпионские вирусы, которые умеют автоматически считывать, записывать и передавать исходящие SMS-сообщения злоумышленнику.
- Вирусы на смартфонах.Вирусов для мобильных устройств создано точно не меньше, чем для компьютеров. И случайно заразить свой смартфон вирусом проще простого.Многие трояны, например, Zeus, Zitmo, Citadel, Perkele используют открытый доступ к SMS на смартфонах специально для перехвата одноразовых паролей. Некоторые вирусы позволяют своему создателю отслеживать все SMS сообщения, включая и сообщения с OTP паролями. Другие вирусы могут перенаправлять голосовые вызовы на номер злоумышленника, помочь хакеру создать дубликат SIM-карты или получить необходимую информацию для успешного перевыпуска SIM-карты жертвы.Все это позволяет говорить об уязвимости SMS аутентификации и рекомендовать отказаться от этого способа доставки одноразовых паролей. Сотрудники Reddit убедились в том, что это не пустые слова или страшилки, но реалии с которыми может столкнуться каждый.
| Читайте также: Голландские исследователи нашли еще одну критическую уязвимость SMS аутентификации
Выход есть — OTP токены
“We learned that SMS-based authentication is not nearly as secure as we would hope, and the main attack was via SMS intercept. We point this out to encourage everyone here to move to token-based 2FA.” — Reddit
Да, от SMS аутентификации нужно срочно отказываться. Но чем ее заменить? Какие есть альтернативы?
Пока их только три:
- Программные OTP токены в виде Android и iOS приложений.Генерация одноразовых паролей прямо на смартфоне решает 2 из 3 проблем, описанных выше. OTP пароли невозможно перехватить. Подмена SIM-карты ничего не даст злоумышленнику. Но смартфон все еще подвержен заражению вирусами.Также часто возникают неприятные ситуации, если смартфон потерян, украден, если пользователь случайно удалил приложение или сбросил все настройки до заводских. Тогда приходится прилагать огромные усилия, чтобы восстановить доступ ко всем сайтам, где была подключена двухфакторная аутентификация. Как поступить, чтобы не оказаться в подобной ситуации читайте тут.Самое известное приложение для генерации одноразовых паролей — это Google Authenticator. Но есть и другие, более продвинутые варианты. Недавно мы делали обзор самых популярных аутентификаторов на Google Play. Обязательно просмотрите, если собираетесь использовать подобное приложение.
- Аппаратные OTP токены.Отдельные устройства в форме брелоков, USB-флешек, пластиковых карт. Единственное предназначение такого девайса — генерировать одноразовые пароли. Аппаратные токены изолированы от каких-либо сетей и работают полностью автономно, а значит исключается возможность перехвата OTP или заражения устройства вирусами.Самые современные аппаратные токены — перепрошиваемые Protectimus Slim NFC. Они созданы, чтобы заменить программные токены там, где раньше это было невозможно. Из всех аппаратных токенов только Protectimus Slim NFC можно подключать к Reddit. Как это сделать читайте здесь.
- Чат-боты в мессенджерах.Новейшее направление, которое позволяет компаниям сэкономить значительные суммы просто заменив SMS-ки чат-ботами в Telegram, Viber, Messenger и других мессенджерах.Сообщения в мессенджерах передаются в зашифрованном виде. Даже перехват такого сообщения ничего не даст хакеру.Вход в мессенджер, как правило, можно дополнительно защитить паролем и двухфакторной аутентификацией. Так, даже если кто-то подделает SIM-карту пользователя, то войти в мессенджер он не сможет. И пользователь в любом случае получит уведомление о попытке входа с незнакомого устройства.От вирусов чат-боты, правда, не защищены. Также не защищены от недальновидности самого пользователя, который может оставить мессенджер открытым на нескольких девайсах. Но это уже ответственность самого пользователя.
Для вашего удобства мы составили таблицу, в которой сравнили все способы доставки/генерации одноразовых паролей, актуальные сегодня. Как видите, у каждого метода есть свои достоинства и недостатки, но самым надежным вариантом можно считать аппаратные OTP токены.
SMS | Приложение | OTP токен | Чат-бот | |
Не нужна сотовая связь | нет | да | да | да |
Нельзя перехватить OTP во время доставки | нет | да | да | да |
Нельзя скомпрометировать токен, подделав SIM-карту | нет | да | да | да1 |
Не нужен интернет | да | да | да | нет |
Не подвержен заражению вирусами | нет | нет | да | нет |
Доступность токена не зависит от заряда батареи телефона | нет | нет | да | да2 |
Токен доступен бесплатно, как конечному пользователю, так и для компании | нет | да | нет | да3 |
Не требует от конечного пользователя каких-либо действий при выпуске | да | нет4 | нет5 | нет6 |
- ↑Важно настроить проверку пароля, а лучше двухфакторную аутентификацию, при входе в мессенджер, которым вы будете пользоваться. Большинство мессенджеров присылают уведомления о попытке входа с незнакомого устройства, проверьте есть ли эта функция в вашем мессенджере.
- ↑Большинство мессенджеров имеют также web и desktop версии. Можно использовать их, если батарейка на смартфоне почти села.
- ↑В мессенджерах можно отправлять не только одноразовые пароли, но и любые другие нотификации бесплатно. На рассылку SMS как правило уходят баснословные бюджеты. Чат-боты Protectimus Bot помогают нашим клиентам заметно экономить на этой статье расходов.
- ↑Пользователь должен установить приложение и выпустить токен, привязанный к конкретному ресурсу.
- ↑Аппаратный токен нужно каким-то образом передать пользователю (выслать по почте или передать в руки лично). Также пользователь должен будет привязать токен к своему аккаунту.
- ↑Пользователю нужно будет найти соответствующего чат-бота в удобном ему мессенджере, получить свой уникальный ID чата и привязать токен к своему аккаунту используя это ID.
| Читайте также: Аппаратный или программный токен — какой выбрать
Выводы
Reddit входит в топ 10 самых посещаемых сайтов в мире, каждый месяц на сайт заходит более 524 миллионов посетителей, количество зарегистрированных пользователей исчисляется сотнями миллионов.
Безопасность личных данных всех этих людей оказалась на волоске из-за того, что руководство и ответственные за информационную безопасность Reddit не придали значения рекомендациям NIST (Национальный институт стандартов и технологий США) и ведущих экспертов в кибербезопасности и вовремя не отказались от SMS аутентификации в пользу программных и аппаратных OTP токенов.
Не будьте как Reddit. Переходите на токены уже сейчас!
Некоторые компании уже прислушались. Например, пару недель назад было объявлено, что в скором времени у пользователей Instagram появится возможность подключать приложения для двухфакторной аутентификации. Как только эта опция станет доступной, для двухфакторной аутентификации в Инстаграм можно будет использовать и аппаратные OTP токены Protectimus Slim NFC.
Читайте также
- Вирус-шифровальщик – платить или нет
- Что следует знать о безопасности корпоративных Wi-Fi сетей
- BYOD: о будущем лучше подумать сегодня
- «Постанова НБУ №95». 150 шагов к безопасности банка
- Эволюция средств двухфакторной аутентификации
- Кража денег с банковских карт — самые распространенные способы
Источник фото: suwalls.com
Subscribe To Our Newsletter
Join our mailing list to receive the latest news and updates from our team.
Подпишитесь на нашу рассылку!
Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.
Спасибо за подписку на нашу рассылку!