Reddit gibt zu, dass es gehackt und Daten gestohlen wurde, sagt: „Keine Panik“

Reddit gibt zu, dass es gehackt und Daten gestohlen wurde, sagt: „Keine Panik“

Zeitstempel: 10. Februar 2023, 12:59 Uhr
Reddit gibt zu, dass es gehackt und Daten gestohlen wurde, sagt PlatoBlockchain Data Intelligence: „Keine Panik“. Vertikale Suche. Ai.
by Paul Ducklin

Die beliebte Social-Media-Site Reddit – „orangefarbenes Usenet mit Anzeigen“, wie wir es etwas ungnädig beschrieben haben – ist die neueste bekannte Web-Eigenschaft, die unter einem leidet Datenmissbrauch bei dem der eigene Quellcode gestohlen wurde.

In den letzten Wochen, Lastpass und GitHub haben ähnliche Erfahrungen gestanden, wobei Cyberkriminelle anscheinend auf die gleiche Weise einbrechen und eindringen: indem sie einen Live-Zugangscode oder ein Passwort für einen einzelnen Mitarbeiter herausfinden und sich unter dem Deckmantel der Corporate Identity dieser Person einschleichen.

In Reddits eigenen Worten:

Reddit-Systeme wurden infolge eines ausgeklügelten und sehr gezielten Phishing-Angriffs gehackt. Sie erhielten Zugriff auf einige interne Dokumente, Code und einige interne Geschäftssysteme.

Wir sind uns nicht sicher, wie passend das Adjektiv „sophisticated“ hier ist, nicht zuletzt, weil Reddit schnell weiter schreibt:

Wie bei den meisten Phishing-Kampagnen verschickte der Angreifer plausibel klingende Eingabeaufforderungen, um Mitarbeiter auf eine Website zu verweisen, die das Verhalten unseres Intranet-Gateways klonte, um Anmeldeinformationen und Second-Factor-Token zu stehlen.

Nachdem der Angreifer erfolgreich die Anmeldeinformationen eines einzelnen Mitarbeiters erhalten hatte, erhielt er Zugriff auf einige interne Dokumente, Code sowie einige interne Dashboards und Geschäftssysteme. Wir zeigen keine Hinweise auf einen Verstoß gegen unsere primären Produktionssysteme (die Teile unseres Stacks, die Reddit ausführen und den Großteil unserer Daten speichern).

Mit anderen Worten, dieser Angriff war mit ziemlicher Sicherheit nicht deshalb erfolgreich, weil er ausgeklügelt war, sondern weil es nicht war.

Jemand, vielleicht in Eile, kam an der vermeintlichen Grenze an, übergab seinen Pass einem Mitreisenden statt einem offiziellen Grenzbeamten und fand sich dann ohne Ausweis im Nirgendwo gefangen, während der Betrüger durchsegelte den Grenzübergang in ihrem Namen.

Der wichtigste Faktor bei einem Identitätsdiebstahl-Angriff dieser Art ist nicht die Raffinesse, sondern, wie Reddit oben zu Recht betont hat, Plausibilität, was es auch gut informierten und vorsichtigen Personen leicht macht, aus Gewohnheit und Erfahrung „durchzurollen“.

Das Risiko, das von gewohnheitsmäßigem Verhalten ausgeht, ist der Grund, warum die offizielle britische Straßenbeschilderung ein leuchtend rotes Rechteck mit den Worten NEW ROAD LAYOUT AHEAD enthält, das verwendet wird, wenn ein stark befahrenes Straßenstück neu organisiert wird. Das Schild ist nicht dazu da, Oldtimer vor nervösen neuen Verkehrsteilnehmern zu schützen, die eine große Kreuzung oder einen Kreisverkehr kompliziert finden könnten. Es soll diese neuen Benutzer, die keine andere Wahl haben, als von Grund auf vorsichtig zu arbeiten und sich daher wahrscheinlich an die Straßenverkehrsregeln halten, vor Oldtimern schützen, die glauben, zu „wissen“, wie sich der Verkehr an diesem Ort verhalten wird, und Segeln Sie daher sorglos durch, basierend auf falschen Annahmen und „erlerntem-aber-jetzt-unsachgemäßem“ Verhalten.

Wie weit kamen die Gauner?

Wie bereits erwähnt, wurde von den Angreifern auf einige interne Systeme von Reddit zugegriffen.

Zusätzlich zu den oben aufgeführten größtenteils harmlos klingenden „Dokumenten“ und „Codes“ hat Reddit zugegeben, dass Informationen über frühere und gegenwärtige Mitarbeiter und „Kontakte“ (wir gehen davon aus, dass dies Auftragnehmer und andere befristete Mitarbeiter) wurden gestohlen, zusammen mit Informationen über Werbekunden.

Reddit hat nicht öffentlich erklärt, welche Art von Datenfeldern in den gestohlenen Informationen enthalten waren, lediglich dass der Verstoß „begrenzt“ war.

Aber das Wort begrenzt kann ein gutes Zeichen sein (z. B. Name und E-Mail-Adresse und keine anderen Daten), kann aber genauso gut ein schlechtes Zeichen sein (z. B. „nur“ zwei Daten: Ihre Sozialversicherungsnummer und ein Scan Ihres Führerscheins).

Angemeldete Benutzer des Reddit-Dienstes, so scheint es – Redditors, wie sie bekannt sind, kann sich von Blue Alert zurückziehen, wobei Reddit sagt, dass seine bisherige Untersuchung keinen Hinweis darauf zeige, dass das, was es „nicht öffentliche Daten“ nennt (mit anderen Worten, Dinge, die Sie nicht für die Welt gepostet haben). siehe trotzdem) von den Cyberkriminellen zugegriffen wurde.

Und wie bereits erwähnt, scheinen die Reddit-Systeme selbst – die Betriebssysteme, der Code und die Netzwerke, die die Reddit-Dienste ausführen, mit denen Sie interagieren, ob als Benutzer oder Besucher – nicht verletzt worden zu sein.

Daraus schließen wir, dass sich die Gauner wahrscheinlich nicht mit Daten wie Anmeldedatensätzen, Systemprotokollen, Standortinformationen oder Passwort-Hashes davongemacht haben.

Das Unternehmen gab in seiner Mitteilung auch an, dass es diesen Vorfall (der am Sonntag, den 2023 geschah, noch untersucht).

Angesichts der bisher relativ schnellen Reaktion gehen wir davon aus, dass Reddit zu gegebener Zeit nachhaken wird, um zu sagen, ob es weitere Beweise für eine Kompromittierung gefunden hat.

Was ist zu tun?

Um ehrlich zu sein, es sieht nicht so aus, als ob Sie jetzt viel tun können oder müssen, es sei denn, Sie sind Reddit-Mitarbeiter oder Werbetreibender.

(Wenn Sie für Reddit arbeiten oder für Reddit werben, gehen wir davon aus, dass das Unternehmen Sie bereits persönlich kontaktiert hat, wenn Ihre Daten zu den „begrenzten“ gestohlenen Informationen gehörten, was wir für eine bessere kurzfristige Reaktion halten würden, als dies mitzuteilen ganze Welt zuerst.)

Reddit selbst hat drei Vorschläge gemacht, nämlich:

  • Schützen Sie sich vor Phishing, indem Sie einen Passwort-Manager verwenden. Das macht es schwieriger, das richtige Passwort auf der falschen Seite einzugeben, denn der Passwort-Manager lässt sich nicht vom Look-and-Feel einer Seite täuschen, sondern arbeitet nüchtern mit dem genauen Namen der Webseite, die er in der Adressleiste sieht . Ironischerweise scheint dies ein Hinweis zu sein, dem Reddit selbst nicht gefolgt ist, da die Angreifer eine plausible Look-Alike-Site verwendet haben, um Anmeldedaten zu stehlen, die ein Passwort-Manager vermutlich als unbekannt zurückgewiesen hätte.
  • Schalten Sie 2FA ein, wenn Sie können. Das bedeutet, dass Sie einen einmaligen Code benötigen, der sich bei jedem Login ändert, was ein gestohlenes Passwort von sich aus unbrauchbar macht. Wir stimmen zu, dass dies eine großartige Idee ist, aber beachten Sie, dass Reddits eigener Mechanismus für 2FA (Zwei-Faktor-Authentifizierung), basierend auf einem sich regelmäßig ändernden sechsstelligen Code, der von einer App auf Ihrem Telefon generiert wird, hier anscheinend nicht geholfen hat, weil die Angreifer phishten sowohl ein aktuelles Passwort als auch einen aktuell gültigen 2FA-Code.
  • Ändern Sie Ihre Passwörter alle zwei Monate. Wir sind mit dieser Empfehlung nicht einverstanden, ebenso wie das US National Institute of Standards and Technology (NIST). Veränderung um der Veränderung willen ist selten eine gute Idee, da sie dazu neigt, gewohnheitsmäßiges Verhalten zu erzwingen, das, mit den Worten von Naked Security-Freund und Kollege Chester Wisniewski, „gewöhnt sich jeden an eine schlechte Angewohnheit".

ZERSTÖREN VON PASSWORT-MYTHEN

Obwohl wir diesen Podcast vor mehr als einem Jahrzehnt aufgenommen haben, sind die darin enthaltenen Ratschläge auch heute noch relevant und nachdenklich. Wir haben die passwortlose Zukunft noch nicht erreicht, daher werden passwortbezogene Cybersicherheitsratschläge noch eine ganze Weile wertvoll sein. Hören Sie hier oder klicken Sie sich durch für a vollständige Abschrift.

Kurz gesagt: wir empfehlen weiterhin Passwortmanager, insbesondere wenn Sie dazu neigen, offensichtliche, identische oder sogar ähnliche Passwörter für mehrere Websites ohne eines zu wählen.

Wir empfehlen Passwort-Manager auch als hilfreiches Tool, um Sie auf Betrüger-Websites abzulenken, die für Sie optisch perfekt aussehen, aber nicht den schlichten und emotionslosen Erwartungen Ihres Passwort-Managers entsprechen.

Und Wir empfehlen Ihnen, 2FA zu aktivieren, wo immer Sie können, obwohl wir wissen, dass es ein bisschen umständlich ist.

Wir erinnern Sie dennoch daran, dass 2FA-Codes (wie diese einmaligen 6-stelligen SMS- oder App-basierten Nachrichten) immer noch gephisht werden können, wie hier bei Reddit, also sind sie kein Allheilmittel für Vorsicht.

Jedoch müssen auch Wir sind nicht damit einverstanden, dass Sie sich regelmäßig zwingen, alle Ihre Passwörter zu ändern auf algorithmischer Basis.

Es ist viel besser, Ihre Passwörter sofort zu ändern, wenn Sie es wirklich für sinnvoll halten, als sich darauf zu verlassen: „Ich werde es sowieso bald ändern, also werde ich einfach warten, bis der Prozess mich dazu auffordert.“

(Wir sagen nicht, dass Sie Ihre Passwörter nicht ständig ändern dürfen, wenn Sie das glücklich macht, aber wenn Sie dies als eine „verfahrenstechnische Anforderung“ bezeichnen, erhalten Sie ein falsches Sicherheitsgefühl und verschwenden Zeit, die Sie könnten Ausgaben für andere Aufgaben, die Ihre Online-Sicherheit direkt verbessern.)

Wie wir bereits gesagt haben, steuern wir vielleicht auf eine passwortlose Zukunft zu, aber wir vermuten, dass wir alle noch viele Jahre lang Passwörter für zumindest einige wichtige Online-Dienste jonglieren werden.

Zeitstempel:

Mehr von Nackte Sicherheit