Reddit foi hackeado com interceptação de SMS de login de duas etapas

Desative isso nas suas contas e troque para uma autenticação de duas etapas baseada em token

Paulo Higa
Por
• Atualizado há 2 anos e 4 meses

Mais um motivo pelo qual a autenticação de duas etapas por SMS é uma péssima ideia: o Reddit divulgou na quarta-feira (1º) que sofreu um ataque hacker entre os dias 14 e 18 de junho, que resultou no acesso indevido a um backup antigo com hashes de senhas, nomes de usuário, endereços de e-mail e as publicações do site. O “ataque principal foi via interceptação de SMS”, segundo o Reddit.

O Reddit afirma que todos os dados até maio de 2007 foram acessados — ou seja, afetou os primeiros usuários do site, que foi lançado em 2005. De acordo com o Reddit, “um invasor comprometeu algumas contas de nossos funcionários com acesso aos serviços de nuvem e hospedagem de código-fonte”. O hacker também obteve permissão de leitura em arquivos de configuração do servidor, logs internos e documentos de trabalho de funcionários.

“Já tendo nossos principais pontos de acesso de código e infraestrutura por trás de uma autenticação forte que requer autenticação em dois fatores (2FA), aprendemos que a autenticação baseada em SMS não é tão segura quanto esperávamos, e o principal ataque foi via interceptação de SMS. Nós ressaltamos isso para encorajar todos aqui a mudarem para a 2FA baseada em token”, diz o Reddit.

Como já explicamos, a rede SS7 (Sistema de Sinalização 7), que é utilizada para gerenciar ligações telefônicas e mensagens de texto, tem falhas conhecidas e pode ser a causa de um ataque a uma conta — especialmente em serviços que ainda mandam códigos de recuperação por SMS. Por isso, é uma boa prática remover seu número de celular e ativar a autenticação em duas etapas baseada em token (por meio de apps como Google Authenticator e Authy) nos serviços que utiliza.

Quanto ao Reddit, todos os usuários que foram afetados pelo ataque estão sendo notificados por e-mail ou mensagem privada, e a empresa já alertou as autoridades sobre a invasão.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.

Relacionados

Como usar o Reddit [Guia para Iniciantes]
Como usar o Reddit [Guia para Iniciantes]
O que é o Reddit?
O que é o Reddit?
Como ativar e desativar a verificação em duas etapas do Gmail
Como ativar e desativar a verificação em duas etapas do Gmail
Como baixar vídeos do Reddit [PC e celular]
Como baixar vídeos do Reddit [PC e celular]
Quando usuários e executivos entram em guerra
Quando usuários e executivos entram em guerra
Reddit cobrará pelo uso da sua API, mas só de IAs e algumas empresas
Reddit cobrará pelo uso da sua API, mas só de IAs e algumas empresas
Como ativar a verificação em duas etapas no Discord [2FA]
Como ativar a verificação em duas etapas no Discord [2FA]
Como recuperar contas que usam o Google Authenticator após perder o celular
Como recuperar contas que usam o Google Authenticator após perder o celular
Como não ser a próxima vítima de fraudes de SIM swap
Como não ser a próxima vítima de fraudes de SIM swap
Reddit em apuros: boicote contra cobrança por API chega a tirar site do ar
Reddit em apuros: boicote contra cobrança por API chega a tirar site do ar