Reddit-Hack zeigt Schwächen von 2FA via SMS

Cyberkriminelle haben erfolgreich einen Angriff auf die Reddit-Plattform ausgeführt. Für den Zugang haben die Hacker eine SMS für die Zwei-Faktor-Authentifizierung (2FA) abgefangen.

von Stefan Bordel 03.08.2018

Reddit ist Opfer eines Cyberangriffs geworden: Wie das Onlineportal mitteilt, ist es den Hackern gelungen, auf verschiedene Systeme zuzugreifen und dabei einige aktuelle E-Mail-Adressen sowie ein Datenbank-Backup aus dem Jahr 2007 zu kopieren. Soweit dies überhaupt möglich ist, will Reddit die betroffenen Nutzer über den Angriff informieren. Ausserdem werden die Passwörter dieser Accounts zurückgesetzt. Wer die auf Reddit genutzten Zugangsdaten zusätzlich für andere Dienste gebraucht, sollte diese ebenfalls erneuern.

Der Angriff erfolgte über einen abgefangenen Zugangscode für die eingerichtete Zwei-Faktor-Authentifizierung (2FA). Dieser wurde per SMS versandt, was weit unsicherer ist als die Nutzung von 2FA-Lösungen auf Basis von Hardware-Token, wie Reddit schmerzlich feststellen musste. Als Reaktion auf den Angriff wurden sämtliche Systeme des Portals auf eine mehrstufige Anmeldung per Hardware-Token umgestellt. Ausserdem wurden die zuständigen Behörden über den Vorfall informiert.

Darüber hinaus raten die Betreiber des Portals seinen Nutzern, ihre eigenen Accounts ebenfalls per 2FA abzusichern. Dies ist in Reddit lediglich per Authenticator-App möglich und nicht via SMS. 

Sicherheitsexperten empfehlen seit Langem eine Abkehr von SMS-basierter Authentifizierung wie etwa auch dem mTAN-Verfahren beim Onlinebanking. Nur allzu einfach können die Zugangscodes von Angreifern abgefangen und missbraucht werden.


    Kommentare

    Keine Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.