Anzeige

Anzeige

VERANSTALTUNGEN

SAMS 2019
25.02.19 - 26.02.19
In Berlin

Plutex Business-Frühstück
08.03.19 - 08.03.19
In Hermann-Ritter-Str. 108, 28197 Bremen

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

ELO Solution Day Hannover
13.03.19 - 13.03.19
In Schloss Herrenhausen, Hannover

Anzeige

Anzeige

Reddit

Quelle: Tero Vesalainen / Shutterstock.com

Der Social-News-Aggregator Reddit setzt für seine Mitarbeiter auf eine Zwei-Faktor-Authentifizierung, die eigentlich unerwünschte Eindringlinge aussperren soll. Leider war diese Maßnahme nicht erfolgreich und so konnten Hacker in die Datenbanken eindringen und Nutzerdaten aus der Anfangszeit der Webseite erbeuten.

Der Social-News-Aggregator Reddit zählt mit mehr als 330 Millionen Besuchern im Monat laut CNBC zu den fünf weltweit beliebtesten Webseiten im Internet. Seit der Gründung im Jahr 2005 teilen und bewerten immer mehr Nutzer Inhalte auf der Seite und diskutieren über die verschiedensten Themen in sogenannten Subreddits. Bei der Menge an Daten, die dabei aufläuft, ist es kein Wunder, dass Reddit im Laufe der Zeit als lohnendes Ziel in den Fokus von Kriminellen geraten ist. Das Unternehmen selbst ist sich dessen auch durchaus bewusst. Erst kürzlich wurde ein neuer Sicherheitschef eingestellt und aktuell sind weitere Stellen in diesem Bereich ausgeschrieben. Darüber hinaus setzt das Unternehmen für seine Mitarbeiter auf eine Zwei-Faktor-Authentifizierung, die eigentlich unerwünschte Eindringlinge aussperren soll. Leider hat diese Maßnahme nicht gegriffen und so konnten Mitte Juni Hacker in die Datenbanken von Reddit eindringen und Nutzerdaten aus der Anfangszeit der Webseite erbeuten.

Interessant ist dabei insbesondere die Art und Weise, wie die Kriminellen vorgegangen sind, denn eine Zwei-Faktor-Authentifizierung gilt eigentlich als relativ sichere Methode, um Hackern das Leben schwer zu machen. Dieser Meinung war man auch bei Reddit, allerdings setzte das Unternehmen auf SMS-Nachrichten bei der Authentifizierung der Mitarbeiter. Um sich Zugang zu den internen Netzwerken zu verschaffen, mussten die Kriminellen also sowohl das Passwort als auch den Code in der SMS des jeweiligen Mitarbeiters eingeben. Nachdem sie auf bislang nicht näher beschriebenen Wegen das Passwort erbeutet hatten, brauchten sie also noch den Code als zweiten Faktor, um sich einzuloggen. Den erhielten sie, indem sie sich eine Kopie der SIM-Karte des Mitarbeiters mit derselben Nummer beschafften. So konnten sie die SMS abfangen. An eine Kopie einer SIM-Karte zu gelangen ist im Übrigen gar nicht so kompliziert. Manchmal reicht schon ein Anruf beim Anbieter, dass die SIM-Karte kaputt sei und man eine neue brauche. Zwar muss man sich dann legitimieren, aber viele Menschen geben die dafür relevanten Informationen wie Geburtstag, Name des Haustiers oder ähnliches ganz öffentlich im Internet preis.

Im Fall von Reddit erbeuteten die Eindringlinge eine komplette Kopie der Datenbank aus den Jahren 2005 bis 2007 inklusive E-Mail-Adressen und Anmeldedaten. Auch einige E-Mails, die zwischen dem 3. und dem 17. Juni 2018 über die Plattform verschickt wurden, sollen den Hackern in die Hände gefallen sein. Die betroffenen Nutzer kontaktiert Reddit in persönlichen Nachrichten oder über die hinterlegten E-Mail-Adressen und empfiehlt, die Passwörter schnellstmöglich zu ändern. Außerdem wurde der Vorfall an die zuständigen Strafverfolgungsbehörden gemeldet. Für die Zukunft zieht Reddit Konsequenzen aus dem Vorfall und wird die Zwei-Faktor-Authentifizierung vom SMS-basierten auf ein Token-basiertes Verfahren umstellen. Ein solches hat auch der Internetriese Google eingeführt. Hier gab es laut Unternehmensangaben seither keine Sicherheitsvorfälle mit Phishing oder ähnlichen Betrugsmaschen mehr.

www.8com.de
 

GRID LIST
Voreingestelltes Bild

Hans Nipshagen wird Head of EMEA Channels and Alliances bei Akamai

Akamai hat die Ernennung von Hans Nipshagen zum Head of EMEA Channels and Alliances…
Samsung Galaxy Fold

Smartphone und Tablet in einem - Das neue Samsung Galaxy Fold

„Die Zukunft entfaltet sich“, so könnte man das Motto des neuen Galxy Fold beschreiben.…
Craig Charlton

SugarCRM ernennt Craig Charlton zum neuen CEO

SugarCRM Inc., das mit seinen Lösungen Unternehmen hilft, bessere Geschäftsbeziehungen…
Digital-Marketing

Digitalwerbung lässt traditionelle alt aussehen

Die Werbebranche wird 2019 einen lange erwarteten Meilenstein erreichen: erstmals werden…
Digitale Schule

Kommentar zur Einigung beim Digitalpakt für Schulen

Zur Einigung im Vermittlungsausschuss zwischen Bund und Ländern auf eine…
Tokyo, Japan, Crosswalk at Shibuya

Cyber Security mal ganz anders: Japan hackt Bürger und Firmen

Der 20. Februar dürfte in die Geschichte des Internets eingehen: Zum ersten Mal überhaupt…
Smarte News aus der IT-Welt