Reddit confirmó que entre el 14 y 18 de junio de 2018, un hacker accedió a su sistema después de haber comprometido algunas cuentas de sus empleados. El 19 de junio se percataron de la irrupción y hoy confirman que los datos de algunos de sus usuarios, sin mencionar cifras concretas, estuvieron expuestos.
Según Reddit, este hacker habría accedido a una parte del sistema donde se almacenaba el respaldo del sitio desde su lanzamiento en 2005 hasta mayo de 2007. Entre toda la información que se encontraba aquí, estaban las direcciones de correo de todos sus usuarios, incluidos nombres y contraseñas, así como la claves de cifrado (hash), y hasta sus mensajes privados.
La culpable fue la autenticación de dos pasos basada en SMS
De acuerdo a la información publicada por Reddit, el hacker también pudo acceder a los boletines enviados vía correo electrónico durante junio de este 2018, donde se incluye una lista de usuarios, con nombres y correos electrónicos, y los subreddits a los que están suscritos.
Ante esto, Reddit está enviando correos electrónicos a todos los usuarios afectados, que son en su mayoría personas que se unieron al sitio desde sus inicios hasta mayo de 2007. La recomendación es, como en casos de este tipo, cambiar la contraseña cuanto antes, en caso de que se siga usando la misma, así como modificar la contraseña en otros sitios en caso de haber usado la misma. Asimismo, se pide que "eliminen cualquier publicación incriminatoria accesible desde su perfil".
Según explican, esta brecha de seguridad surgió después de que el hacker logró interceptar los SMS de los métodos de autenticación de dos pasos (2FA) de algunos de sus empleados. Con esto, el atacante pudo tener acceso a los datos de la copia de seguridad del sitio, incluido el código fuente, así como los datos y credenciales de otros empleados. Eso sí, Reddit asegura que no pudo modificar ni alterar nada.
"Hoy aprendimos que la autenticación basada en SMS no es tan segura como esperábamos"
Reddit también está pidiendo a todos sus usuarios que de ser posible eliminen la autenticación basada en SMS y se pasen a una 2FA basada en token a través de aplicaciones como Authy o Google Authenticator.
Y ahora es cuando entendemos la insistencia de Google de abandonar el SMS como método de autenticación, y tratar de usar las llaves de seguridad físicas, que ellos mismos están por lanzar y que son usadas por sus empleados desde 2017.
Más información | Reddit En Xataka | Google asegura que este pequeño dispositivo de 20 dólares ha evitado que sus 85.000 empleados hayan sido víctimas de phishing
Ver todos los comentarios en https://www.xataka.com
VER 2 Comentarios