02.08.2018
Nutzerdaten gestohlen
Reddit-Hack zeigt Schwächen von 2FA via SMS
Autor: Stefan Bordel
Tero Vesalainen / Shutterstock.com
Cyberkriminelle haben erfolgreich einen Angriff auf die Reddit-Plattform ausgeführt und dabei zahlreiche Nutzerdaten kopiert. Für den Zugang haben die Hacker eine SMS für die 2-Faktor-Authentifizierung (2FA) abgefangen und den dahinterliegenden Account gekapert.
Reddit ist Opfer eines Cyberangriffs geworden: Wie das Online-Portal mitteilt, ist es den Hackern gelungen, auf verschiedene Systeme zuzugreifen und dabei einige aktuelle E-Mail-Adressen sowie ein Datenbank-Backup aus dem Jahr 2007 zu kopieren. Soweit dies überhaupt möglich ist, will Reddit die betroffenen Nutzer über den Angriff informieren. Außerdem werden die Passwörter dieser Accounts zurückgesetzt. Wer die auf Reddit genutzten Zugangsdaten zusätzlich für andere Dienste gebraucht, sollte diese ebenfalls erneuern.
Der Angriff erfolgte über einen abgefangenen Zugangscode für die eingerichtete 2-Faktor-Authentifizierung (2FA). Dieser wurde per SMS versandt, was weit unsicherer ist als die Nutzung von 2FA-Lösungen auf Basis von Hardware-Token - wie Reddit schmerzlich feststellen musste. Als Reaktion auf den Angriff hat das Portal sämtliche Systeme auf eine mehrstufige Anmeldung per Hardware-Token umgestellt. Außerdem wurden die zuständigen Behörden über den Vorfall informiert.
Darüber hinaus rät das Portal seinen Nutzern, ihre eigenen Accounts ebenfalls per 2FA abzusichern. Dies ist in Reddit lediglich per Authenticator-App möglich und nicht via SMS. Eine Auswahl empfehlenswerter 2FA-Apps finden Sie in unserem Beitrag "Die besten 2FA-Apps im Überblick".
Sicherheitsexperten empfehlen seit langem eine Abkehr von SMS-basierter Authentifizierung wie etwa auch dem mTAN-Verfahren beim Online-Banking. Nur allzu einfach können die Zugangscodes von Angreifern abgefangen und missbraucht werden.
Bad News
Game macht Fake News spielerisch erkennbar
Wissenschaftler der Universität Uppsala haben ihr Online-Spiel "Bad News" erfolgreich an 516 Schülern getestet. Es soll helfen, manipulative Techniken in Social-Media-Posts zu erkennen.
>>
Tools
GitLab Duo Chat mit KI-Chat-Unterstützung
Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
Glasfasernetz
GlobalConnect stellt B2C-Geschäft in Deutschland ein
Der Glasfaseranbieter GlobalConnect will sich in Deutschland künftig auf das B2B- und das Carrier-Geschäft konzentrieren und stoppt die Gewinnung von Privatkunden mit Internet- und Telefonanschlüssen.
>>