やや制御不能となり、インターネット上で6番目に訪問数の多いウェブサイトとなったオンラインチャット掲示板Redditは、水曜日の謝罪で、正体不明のハッカーによる襲撃を受けたことを認めた。
6月14日から18日までの4日間、複数のReddit従業員のクラウドホスティングとソースコードリポジトリのアカウントに、SMS経由の2要素認証でロックされていたにもかかわらず、ハッカー集団が侵入に成功しました。現時点では、中間者攻撃によってSMSトークンが盗まれ、アカウントが乗っ取られたとみられます。従業員の携帯電話自体はハッキングされていなかったとされています。
「SMSベースの認証は期待するほど安全ではなく、主な攻撃はSMSの傍受によるものであることがわかりました」とRedditチームは水曜日の声明で述べた。「このことを指摘するのは、皆さんにトークンベースの2FAへの移行を促したいからです。」
El Regは、多要素認証にはSMSではなくハードウェアトークンの使用を強く推奨しています。例えば、テキストメッセージは、いわゆるポートアウト詐欺で電話アカウントを乗っ取った悪質な人物によって傍受される可能性があり、SS7のトリックやブラウザベースの攻撃、あるいは無線による盗聴の可能性もあるからです。
米国の標準研究所はSMSは認証には役に立たないと言う
続きを読む
この場合、ログイン SMS がどのように取得されたかは正確にはわかっていません。結局のところ、フィッシング詐欺であった可能性もあります。
攻撃者は、2005 年のサイト開設から 2007 年 5 月までにサイトに送信された情報のバックアップ データベースを盗み出すことに成功しました。この中には、ユーザー名、パスワード (ソルト化およびハッシュ化されていました)、電子メール アドレス、公開メッセージと非公開メッセージを含むすべてのコンテンツが含まれていました。
それはひどい話に聞こえますが、軽減要因もあります。Redditはサービス開始から1年ほどはそれほど大きくなく、創設者たちはアカウントの多くが初期のトラフィックを増やすためのソックパペットだったことを認めています。プライベートメッセージの消失は、どれも10年以上前のものですが、より深刻な問題かもしれません。
Redditはまた、6月3日から6月17日の間に送信されたメールダイジェストの一部が盗まれたと発表しました。このダイジェストには、一部のメールアドレスがフォローしていた職場向けサブレディットの情報が含まれています。影響を受けたユーザーには、盗難に巻き込まれた場合、同社から連絡が届く予定です。
声明では、Reddit のソースコード、内部ログ、構成ファイル、その他の従業員のワークスペース ファイルにもアクセスがあったと述べられています。
「もう一つのニュースとして、私たちは最初のセキュリティ責任者を採用しました。彼は2ヶ月半前に着任しました」とRedditのCTO、クリストファー・スロー氏は述べた。「当然のことですが、このスレッドで彼のことを公表するつもりはありません。彼は最初の数ヶ月で厳しい訓練を受けました。今のところ、辞めていません。」®
