Nutzerdaten gestohlen
02.08.2018, 22:08 Uhr
Reddit-Hack zeigt Schwächen von 2FA via SMS
Cyberkriminelle haben erfolgreich einen Angriff auf die Reddit-Plattform ausgeführt und dabei zahlreiche Nutzerdaten kopiert. Für den Zugang haben die Hacker eine SMS für die 2-Faktor-Authentifizierung (2FA) abgefangen und den dahinterliegenden Account gekapert.
Reddit ist Opfer eines Cyberangriffs geworden: Wie das Online-Portal mitteilt, ist es den Hackern gelungen, auf verschiedene Systeme zuzugreifen und dabei einige aktuelle E-Mail-Adressen sowie ein Datenbank-Backup aus dem Jahr 2007 zu kopieren. Soweit dies überhaupt möglich ist, will Reddit die betroffenen Nutzer über den Angriff informieren. Ausserdem werden die Passwörter dieser Accounts zurückgesetzt. Wer die auf Reddit genutzten Zugangsdaten zusätzlich für andere Dienste gebraucht, sollte diese ebenfalls erneuern.
Der Angriff erfolgte über einen abgefangenen Zugangscode für die eingerichtete 2-Faktor-Authentifizierung (2FA). Dieser wurde per SMS versandt, was weit unsicherer ist als die Nutzung von 2FA-Lösungen auf Basis von Hardware-Token - wie Reddit schmerzlich feststellen musste. Als Reaktion auf den Angriff hat das Portal sämtliche Systeme auf eine mehrstufige Anmeldung per Hardware-Token umgestellt. Ausserdem wurden die zuständigen Behörden über den Vorfall informiert.
Darüber hinaus rät das Portal seinen Nutzern, ihre eigenen Accounts ebenfalls per 2FA abzusichern. Dies ist in Reddit lediglich per Authenticator-App möglich und nicht via SMS. Eine Auswahl empfehlenswerter 2FA-Apps finden Sie in unserem Beitrag "Die besten 2FA-Apps im Überblick".
Sicherheitsexperten empfehlen seit langem eine Abkehr von SMS-basierter Authentifizierung wie etwa auch dem mTAN-Verfahren beim Online-Banking. Nur allzu einfach können die Zugangscodes von Angreifern abgefangen und missbraucht werden.