viernes, 3 de agosto de 2018

Incidente de seguridad en Reddit por utilizar 2FA con SMS

La red social Reddit,  el popular sitio de agregación de noticias y marcadores sociales, reconoció ayer en un comunicado oficial haber padecido un incidente de seguridad con uno de sus empleados. Según la propia plataforma, "entre el 14 y el 18 de junio, un atacante comprometió algunas cuentas de los empleados vinculadas a los proveedores de almacenamiento de código y cloud". Los datos sensibles robados,serían emails enviados desde el servicio en junio de 2018, una copia de seguridad de una base de datos de 2007 con contraseñas viejas cifradas y con salt.




El 19 de junio, nos enteramos de que entre el 14 de junio y el 18 de junio, un atacante comprometió algunas de las cuentas de nuestros empleados con nuestros proveedores de alojamiento de códigos fuente y en la nube. Ya tenemos nuestros principales puntos de acceso para el código y la infraestructura detrás de una autenticación fuerte que requiere autenticación de dos factores (2FA), descubrimos que la autenticación basada en SMS no es tan segura como esperaríamos, y el ataque principal fue a través de la interceptación de SMS. Señalamos esto para alentar a todos los presentes a pasar a 2FA basado en tokens. 

Reddit había tomado hace tiempo ciertas medidas para evitar en lo máximo posible los accesos por parte de personas ajenas a las cuentas de sus empleados, utilizando para ello la autenticación en dos pasos. Sin embargo, dicho proceso de acceso se apoyaba en SMS, una tecnología cuya seguridad está puesta en duda desde hace años.

Aunque este fue un ataque serio, el atacante no obtuvo acceso de escritura a los sistemas de Reddit; obtuvieron acceso de solo lectura a algunos sistemas que contenían datos de respaldo, código fuente y otros registros. No pudieron alterar la información de Reddit

Además, han sido extraídas listas de correos electrónicos de usuarios actuales, procedentes del sistemas de envío de resúmenes de noticias. Estas sí serían actuales, en concreto de todos los usuarios que tuvieran marcada dicha opción durante el día 3 y el 17 de junio. Repetimos: un listado de direcciones de correos electrónicos, nada de credenciales, en principio.

La filtración de datos de usuario, que no es precisamente un botín rebosante, solo es una pizca de lo acontecido; aunque sí es lo que determina las posibles sanciones administrativas.

El código fuente del Reddit actual, privativo, podría estar durmiendo en el disco duro del atacante

Aunque el código fuente de Reddit siempre ha sido publicado con una licencia de fuente abierta, la compañía cerró el código fuente de la aplicación principal (aunque sigue publicando proyectos laterales y herramientas). Según el artículo publicado por el responsable de Reddit, el atacante habría tenido acceso a este código, recordemos, una versión muy distinta a la última versión libre publicada; ya que el sitio recibió un completo lavado de cara a inicios de este mismo año.

El mismo responsable del comunicado,el director de tecnología de Reddit, Christopher Slowe, comenta que contrataron hace dos meses y medio a un jefe de seguridad. Lo que no deja de llamar la atención, que una compañía con un gran público en Internet, no lo tuviera ya desde hace años.

Autenticación 2 Factores con SMS no es segura


Al parecer el atacante habría utilizado algún tipo de ataque de interceptación para hacerse con los SMS y acceder a la cuenta de un empleado con el fin de robar datos sensibles importantes, entre los que se encontrarían algunos datos de usuario como los emails enviados desde el servicio en junio de 2018 y una copia de seguridad de una base de datos de 2007 con contraseñas viejas cifradas y con salt.



Reddit está enviando un mensaje a los usuarios afectados y restableciendo las contraseñas en las cuentas donde las credenciales aún podrían ser válidas.

Ya se han tomado medidas adicionales para reforzar el acceso privilegiado a Reddit, como el cambiar los SMS por una autenticación en dos pasos basada en tokens, algo que desde la plataforma se recomienda hacer a todos sus usuarios.



No hay comentarios:

Publicar un comentario