Datenverletzung bei Online-Plattform Reddit

| 2. August 2018 | Kommentar

Wie die Online-Plattform Reddit jüngst bekannt gab, war es Hackern gelungen, in die Systeme einzudringen und auf Benutzerdaten, darunter E-Mail-Adressen sowie alte Usernamen und verschlüsselte Passwörter eines Datenbank-Backups, zuzugreifen.

Schwachstelle und Angriffspunkt war dabei das SMS-basierte Authentifizierungsverfahren. Dass 2FA nicht absolut sicher ist, bestätigt auch Joseph Carson, Chief Security Scientist von Thycotic: „Der Einsatz von 2FA zum Schutz sensibler Daten ist generell sinnvoll, doch wie dieser Angriff deutlich macht, bieten nicht alle 2FA-Methoden das gleiche Level an Sicherheit. So besteht etwa ein grosser Unterschied zwischen SMS-basierter- und Token-basierter Authentifizierung. Reddit sollte ein Modell der minimalen Rechtevergabe umsetzen und die Sicherheitskontrollen für privilegierte Konten erhöhen, denn im aktuellen Fall hatten die kompromittierten Konten Lesezugriff auf Speichersysteme einschliesslich Quellcode und Konfigurationen.“

Dass Reddit den Datenverstoss scheinbar herunterspielen möchte, weil die Angreifer ja „nur“ Lese- nicht aber Schreibzugriff hatten, beunruhigt Carson: „So oder so waren sensible Daten betroffen, weshalb es meiner Meinung nach auch eine schwere Datenverletzung ist.“

Tags:

Kategorie: News

Kommentar erfassen