Reddit gehackt via onderschepte sms-berichten

Abonneer je gratis op Techzine!

Een hacker is erin geslaagd om historische accountgegevens te stelen van Reddit. Daarvoor werden sms-berichten onderschept, die medewerkers ontvingen om op de backend in te kunnen loggen. De hack vond plaats tussen 14 en 18 juni en daarbij werd een databaseback-up uit 2007 buitgemaakt.

Die back-up bevat volgens Reddit, dat de hack zelf bekend maakte, uit “zeer vroege Reddit-gebruiksgegevens” van tussen de lancering van het platform in 2005 tot mei 2007. Dat omvat onder meer gebruikersnamen, e-mailadressen, openbare berichten, privéberichten en versleutelde wachtwoorden.

Wachtwoord veranderen

Welke methode er gebruikt werd om de wachtwoorden te versleutelen is niet bekend. Maar omdat het om een database uit 2007 gaat, zou het goed kunnen dat het om een methode gaat die relatief eenvoudig gekraakt kan worden. Het bedrijf neemt dan ook geen enkel risico en heeft alle gebruikers wiens mailadressen in de database staan benaderd.

Zij hebben een mail ontvangen waarin Reddit laat weten dat hun gegevens onder de gehackte data vallen. Mochten gebruikers nog altijd hetzelfde wachtwoord als elf jaar geleden gebruiken, dan wordt hen aangeraden dat nog eens te heroverwegen. Eigenaren van getroffen accounts wordt gevraagd hun wachtwoord te resetten.

Sms’jes niet veilig

Tweetrapsverificatie is al sinds 2005 een veelgebruikte techniek om ervoor te zorgen dat enkel de juiste personen ergens op in kunnen loggen. Maar de afgelopen jaren is er veel veranderd en zijn sms’jes kwetsbaar geworden. Er zijn meerdere verschillende manieren om sms’jes te onderscheppen, waardoor hackers of andere kwaadwillenden snel en eenvoudig toegang tot accounts kunnen krijgen.

Het is volgens veel kenners dan ook van groot belang dat bedrijven als Reddit snel afstappen van verificatie via sms. Google speelt al in op dat advies, door zijn personeel te vragen om in te loggen met een fysieke sleutel. Zo voorkomt Google naar eigen zeggen hacks.