Início » Antivírus e Segurança » Reddit foi hackeado com interceptação de SMS de login de duas etapas

Reddit foi hackeado com interceptação de SMS de login de duas etapas

Desative isso nas suas contas e troque para uma autenticação de duas etapas baseada em token

Paulo Higa Por

Mais um motivo pelo qual a autenticação de duas etapas por SMS é uma péssima ideia: o Reddit divulgou na quarta-feira (1º) que sofreu um ataque hacker entre os dias 14 e 18 de junho, que resultou no acesso indevido a um backup antigo com hashes de senhas, nomes de usuário, endereços de e-mail e as publicações do site. O “ataque principal foi via interceptação de SMS”, segundo o Reddit.

O Reddit afirma que todos os dados até maio de 2007 foram acessados — ou seja, afetou os primeiros usuários do site, que foi lançado em 2005. De acordo com o Reddit, “um invasor comprometeu algumas contas de nossos funcionários com acesso aos serviços de nuvem e hospedagem de código-fonte”. O hacker também obteve permissão de leitura em arquivos de configuração do servidor, logs internos e documentos de trabalho de funcionários.

“Já tendo nossos principais pontos de acesso de código e infraestrutura por trás de uma autenticação forte que requer autenticação em dois fatores (2FA), aprendemos que a autenticação baseada em SMS não é tão segura quanto esperávamos, e o principal ataque foi via interceptação de SMS. Nós ressaltamos isso para encorajar todos aqui a mudarem para a 2FA baseada em token”, diz o Reddit.

Como já explicamos, a rede SS7 (Sistema de Sinalização 7), que é utilizada para gerenciar ligações telefônicas e mensagens de texto, tem falhas conhecidas e pode ser a causa de um ataque a uma conta — especialmente em serviços que ainda mandam códigos de recuperação por SMS. Por isso, é uma boa prática remover seu número de celular e ativar a autenticação em duas etapas baseada em token (por meio de apps como Google Authenticator e Authy) nos serviços que utiliza.

Quanto ao Reddit, todos os usuários que foram afetados pelo ataque estão sendo notificados por e-mail ou mensagem privada, e a empresa já alertou as autoridades sobre a invasão.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Trovalds

Facebook não tem ferramentas de moderação, o que dificulta a vida dos admins. Daí sobra só excluir post e expulsar usuário. Mas por outro lado a turma do TB é também quem fica de olho no grupo e digamos que grupo de discussão não é exatamente o foco do portal.

Capitão Caverna

Não precisa cara!!!!!!!!!!111111111111
Basta criar um grupo no poderoso telegram zzzzzzzzzzzzzzz

johndoe1981

off-topic: Facebook é o lugar mais inapropriado para grupos de discussão, mesmo os que não são no formato tradicional de fórum, como Reddit, 4chan etc. Eu odeio quando algum fórum que eu participo é encerrado e migra pra grupo de Facebook, eu simplesmente paro de postar, Facebook é uma bagunça.

Thiago

Acho que os dois podem conviver juntos

Trovalds

E "matar" o grupo no facebook? Acho difícil.

Thiago

Só quero um r/Tecnoblog.

edit: Se liberarem eu até vejo de criar um eu mesmo...