Brecha de seguridad en Reddit por el 2FA con SMS
La red social Reddit reconoció ayer haber padecido una brecha de seguridad. Según la propia plataforma, "entre el 14 y el 18 de junio, un atacante comprometió algunas cuentas de los empleados vinculadas a los proveedores de almacenamiento de código y cloud".
Aunque el código fuente de Reddit siempre ha sido publicado con una licencia de fuente abierta, la compañía cerró el código fuente de la aplicación principal (aunque sigue publicando proyectos laterales y herramientas). Según el artículo publicado por el responsable de Reddit, el atacante habría tenido acceso a este código, recordemos, una versión muy distinta a la última versión libre publicada; ya que el sitio recibió un completo lavado de cara a inicios de este mismo año. El ataque no fue detectado hasta el día 19 y ahora el código fuente del Reddit actual, privativo, podría estar en el disco duro de su asaltante.
Durante ese intervalo de tiempo, varios servidores de la infraestructura de Reddit habrían sido atacados, con el resultado de la extracción de datos de usuarios, en concreto, direcciones de correo electrónico actuales y una copia de las credenciales de acceso que data del año 2007.
Reddit había tomado hace tiempo ciertas medidas para evitar en lo máximo posible los accesos por parte de personas ajenas a las cuentas de sus empleados, utilizando para ello la autenticación en dos pasos. Sin embargo, dicho proceso de acceso se apoyaba en SMS, una tecnología cuya seguridad está puesta en duda desde hace años.
Centrándonos en el ataque en si, llama la atención un aspecto importante:
Al parecer el atacante habría utilizado algún tipo de ataque de interceptación para hacerse con los SMS y acceder a la plataforma con el fin de robar datos sensibles importantes, entre los que se encontrarían algunos datos de usuario como los emails enviados desde el servicio en junio de 2018 y una copia de seguridad de una base de datos de 2007 con contraseñas viejas cifradas y con SALT.
La lista de correos electrónicos de usuarios actuales, procedentes del sistemas de envío de resúmenes de noticias serían actuales, en concreto de todos los usuarios que tuvieran marcada dicha opción durante el día 3 y el 17 de junio. Repetimos: solo un listado de direcciones de correos electrónicos, nada de credenciales, en principio.
Si tienes una cuenta en Reddit, es posible que hayas recibido un correo electrónico como este:
Afortunadamente, el atacante solo consiguió acceso en modo de solo lectura, así que no pudo modificar nada de lo alojado en Reddit, pero sí ha podido copiar ficheros como copias de seguridad, código fuente y algunos registros. Con el fin de que esto no vuelva a suceder, los encargados de la red social han tomado medidas como bloquear y rotar con mayor frecuencia los secretos de producción y las claves de las API, mejorar sus sistemas de registro y monitorización, reportar a las fuerzas del orden lo sucedido y cooperar en la investigación, enviar mensajes a las cuentas de usuario si hay posibilidades de que las credenciales robadas puedan reflejar la contraseña actual (pudiendo iniciar un proceso de restablecimiento de contraseña) y se han tomado medidas adicionales para reforzar el acceso privilegiado a Reddit, como el cambiar los SMS por una autenticación en dos pasos basada en tokens, algo que desde la plataforma se recomienda hacer a todos sus usuarios.
Profundizando en los datos robados, la copia de seguridad de la base de datos de 2007 está completa, abarcando un periodo desde la puesta en marcha del sitio web en 2005 hasta mayo de 2007. Contiene nombres de usuario, contraseñas cifradas con SALT, direcciones de email y todos los mensajes, que en su mayoría son públicos, pero también hay mensajes privados. Como medida de precaución, Reddit está enviando mensajes a los afectados y pidiendo el restablecimiento de la contraseña en caso de sospechar que los datos de acceso siguen siendo válidos en los momentos actuales. Si el usuario se ha registrado en una fecha posterior a mayo de 2007 no habría, según los encargados de la plataforma, de qué preocuparse.
Sobre los emails enviados en junio de 2018, se trata de unos registros con resúmenes de lo enviado desde Reddit entre los días 3 y 17 del mencionado mes. En ellos se conectan los nombres de usuario a las direcciones de correo asociadas y contienen publicaciones sugeridas en subreddits populares y subreddits seguros a los que suscribirse. En caso de no tener una dirección de correo asociada a la cuenta o no haber tenido activada la característica de “resumen por correo electrónico” durante el periodo mencionado, el usuario no se habrá visto afectado.
Recomendamos a todos los usuarios de Reddit restablecer la contraseña cuanto antes para garantizar al máximo su seguridad, a ser posible empleando un gestor para la generación de la nueva contraseña.
Fuente: Hispasec | Muy Seguridad
Aunque el código fuente de Reddit siempre ha sido publicado con una licencia de fuente abierta, la compañía cerró el código fuente de la aplicación principal (aunque sigue publicando proyectos laterales y herramientas). Según el artículo publicado por el responsable de Reddit, el atacante habría tenido acceso a este código, recordemos, una versión muy distinta a la última versión libre publicada; ya que el sitio recibió un completo lavado de cara a inicios de este mismo año. El ataque no fue detectado hasta el día 19 y ahora el código fuente del Reddit actual, privativo, podría estar en el disco duro de su asaltante.
Durante ese intervalo de tiempo, varios servidores de la infraestructura de Reddit habrían sido atacados, con el resultado de la extracción de datos de usuarios, en concreto, direcciones de correo electrónico actuales y una copia de las credenciales de acceso que data del año 2007.
Reddit había tomado hace tiempo ciertas medidas para evitar en lo máximo posible los accesos por parte de personas ajenas a las cuentas de sus empleados, utilizando para ello la autenticación en dos pasos. Sin embargo, dicho proceso de acceso se apoyaba en SMS, una tecnología cuya seguridad está puesta en duda desde hace años.
Centrándonos en el ataque en si, llama la atención un aspecto importante:
We learned that SMS-based authentication is not nearly as secure as we would hope, and the main attack was via SMS intercept. We point this out to encourage everyone here to move to token-based 2FA.Aunque las cuentas de empleados que habrían sido hackeadas poseían doble factor de autenticación, este era un mensaje SMS y habría sido interceptado. Ojo, no estamos frente a un ataque oportunista contra servidores y mala configuración. Nos está desvelando una parte importante de como se desarrolló el plan del atacante: fue a por los empleados, y es más que probable que echara mano de ingeniería social o algo más complejo para hacerse con el código de los mensajes SMS enviados a los empleados.
Al parecer el atacante habría utilizado algún tipo de ataque de interceptación para hacerse con los SMS y acceder a la plataforma con el fin de robar datos sensibles importantes, entre los que se encontrarían algunos datos de usuario como los emails enviados desde el servicio en junio de 2018 y una copia de seguridad de una base de datos de 2007 con contraseñas viejas cifradas y con SALT.
La lista de correos electrónicos de usuarios actuales, procedentes del sistemas de envío de resúmenes de noticias serían actuales, en concreto de todos los usuarios que tuvieran marcada dicha opción durante el día 3 y el 17 de junio. Repetimos: solo un listado de direcciones de correos electrónicos, nada de credenciales, en principio.
Si tienes una cuenta en Reddit, es posible que hayas recibido un correo electrónico como este:
Profundizando en los datos robados, la copia de seguridad de la base de datos de 2007 está completa, abarcando un periodo desde la puesta en marcha del sitio web en 2005 hasta mayo de 2007. Contiene nombres de usuario, contraseñas cifradas con SALT, direcciones de email y todos los mensajes, que en su mayoría son públicos, pero también hay mensajes privados. Como medida de precaución, Reddit está enviando mensajes a los afectados y pidiendo el restablecimiento de la contraseña en caso de sospechar que los datos de acceso siguen siendo válidos en los momentos actuales. Si el usuario se ha registrado en una fecha posterior a mayo de 2007 no habría, según los encargados de la plataforma, de qué preocuparse.
Sobre los emails enviados en junio de 2018, se trata de unos registros con resúmenes de lo enviado desde Reddit entre los días 3 y 17 del mencionado mes. En ellos se conectan los nombres de usuario a las direcciones de correo asociadas y contienen publicaciones sugeridas en subreddits populares y subreddits seguros a los que suscribirse. En caso de no tener una dirección de correo asociada a la cuenta o no haber tenido activada la característica de “resumen por correo electrónico” durante el periodo mencionado, el usuario no se habrá visto afectado.
Recomendamos a todos los usuarios de Reddit restablecer la contraseña cuanto antes para garantizar al máximo su seguridad, a ser posible empleando un gestor para la generación de la nueva contraseña.
Fuente: Hispasec | Muy Seguridad
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!