Redditによると、悪意のあるハッカーまたはハッカー集団が最近、一部の古いユーザーデータと現在のメールアドレスを盗んだとのことです。ハッカーは、2要素認証(2FA)に使用されていた従業員のSMSコードの一部を傍受したようです。
盗まれた情報は何ですか?
セキュリティインシデントに関するRedditの発表によると、攻撃者は2005年から2007年までのユーザーデータベースの完全なバックアップコピーにアクセスできたとのこと。このデータベースには、ユーザー名、ソルト化およびハッシュ化されたパスワード、メールアドレス、すべての公開投稿、およびプライベートメッセージが含まれていた。
Redditは、今回のデータ漏洩の影響を受けるすべてのユーザーに通知すると述べています。2007年以降に同オンラインサービスに登録したユーザーは、影響を受けないはずです。
さらに、攻撃者は、2018 年 6 月 3 日から 6 月 17 日の間に Reddit からユーザーに送信されたメール ダイジェストを含むログにアクセスしました。ダイジェストには、ダイジェストが送信されたメール アドレスとユーザー名が関連付けられていたほか、ユーザーが登録しているサブレディットに基づいて提案された投稿も含まれていました。
Reddit の投稿によれば、Reddit アカウントにメールが関連付けられておらず、アカウント設定でメールダイジェスト機能をチェックしていなかった場合、この特定の漏洩は影響しないはずだとのことです。
影響を受けた場合はどうすればいいですか?
Redditは、データ侵害の影響を受けたアカウントのパスワードをリセットします。また、システムのログ記録を強化し、SMSによる2要素認証からハードウェアセキュリティキーに基づく認証に切り替えました。
データ侵害の影響を受けたグループに属していると思われる場合は、Redditが自動的にパスワードをリセットしなくても、パスワードをリセットする必要があります。他のサイトでも同じパスワードを使用している場合は、そちらでも変更してください。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
メールダイジェストを購読していて、そのアカウントに関連するデータが自分のメールアドレスに遡って追跡されることを望まない場合、その情報を削除する方法についてヘルプページを確認することを Reddit は推奨しています。
最後に、Redditでは、強力で固有のパスワードと、2FA用のアプリ認証システムの使用を推奨しています。Redditでは、ユーザーアカウントのU2Fセキュリティキーのサポートはまだ有効化されていません。
攻撃者がRedditのホスティングアカウントに侵入した方法
6月19日、Redditは、同社のクラウドホスティングプロバイダーの従業員アカウントが攻撃者に侵害されたことを知りました。調査の結果、攻撃者は従業員がクラウドホスティングアカウントの認証に使用するSMS 2FAコードにアクセスしたことが判明しました。
攻撃者がこれを行うには、議会議員の呼びかけにも関わらず無線通信事業者が修正を拒否しているシグナリング システム セブン (SS7) をハッキングするか、ソーシャル エンジニアリングを駆使して Reddit 従業員の電話番号をハッカー自身の携帯電話に移植するかのいずれかの方法で SMS コードを傍受するしか方法はありません。
攻撃者はクラウドホスティングアカウントのパスワードも必要としますが、従業員がパスワードマネージャーを使用せずにパスワードを使い回している場合、これは通常容易です。最近、データ侵害が多発していることから、使い回されたパスワードが漏洩した可能性は非常に高いと考えられます。
Redditのハックから学ぶこと
SMS 2FAはもはや信頼できず、長年にわたり安全とは言えません。米国標準技術研究所(NIST)は、米国を拠点とする暗号化プロトコルの標準を策定していますが、2年以上前にSMS 2FAを廃止しました。
しかし、今日では多くの企業がユーザーにSMSによる2FAの使用を推奨し続けています。これは、便利だから(誰もがSMS対応の携帯電話を持っている)という理由だけでなく、電話番号を教えてもらうための手段でもあるからです。市場に登場してからまだそれほど年月は経っていませんが、U2Fセキュリティキーは既にアカウントのセキュリティ確保において高い実績を誇っています。
より多くの企業が U2F キーのサポートを開始すれば、ユーザーも U2F キーを購入するようになるはずで、将来のデータ侵害の影響はそれほど大きくなくなるでしょう。
