image

Reddit gehackt door aanvaller die sms-codes onderschepte

donderdag 2 augustus 2018, 10:16 door Redactie, 13 reacties

Een aanvaller heeft verschillende systemen van de populaire website Reddit weten te hacken nadat hij inlogcodes die via sms waren verstuurd had onderschept. Dat heeft Reddit zelf bekendgemaakt. Volgens de website wist de aanvaller tussen 14 en 18 juni verschillende accounts van medewerkers te compromitteren waarmee toegang tot de cloud- en broncode-hostingproviders van Reddit kon worden verkregen.

De accounts waren met tweefactorauthenticatie beveiligd, wat inhoudt dat naast een wachtwoord ook een extra inlogcode moet worden verstrekt. In het geval van de Reddit-accounts werden de extra inlogcodes via sms verstuurd en wist de aanvaller deze codes te onderscheppen, aldus de verklaring van Reddit. De aanvaller wist vervolgens toegang te krijgen tot een back-up van Reddit met alle gegevens van 2005 tot en met 2007, waaronder accountgegevens van gebruikers. Het gaat om gesalte en gehaste wachtwoorden, gebruikersnamen, e-mailadressen, openbare reacties en privéberichten.

Daarnaast werden recente logs met "e-mail digests" benaderd. De digests koppelen een gebruikersnaam aan een e-mailadres en bevatten berichten van populaire subreddits waar gebruikers zich op hebben geabonneerd. Om herhaling te voorkomen heeft Reddit verschillende maatregelen genomen, waaronder het vervangen van sms-gebaseerde tweefactorauthenticatie door tokengebaseeerde tweefactorauthenticatie. Ook worden gebruikers geïnformeerd waarvan het huidige wachtwoord op de gestolen inloggegevens lijkt.

Reacties (13)
02-08-2018, 10:47 door Anoniem
Opvallend dat Reddit niet meldt hoe men aan het wachtwoord van de accounts is gekomen. Nu wordt een beetje de schuld verschoven naar de onveiligheid van SMS (wij konden er eigenlijk niets aan doen).
Een aanvaller die de technische middelen heeft om SMS te onderscheppen zou ook goed de middelen kunnen hebben om een (android) smartphone te besmetten en zo mee te kijken op de authenticator app. Als je dan toch de beveiliging echt wilt verbeteren kan je beter naar fysieke tokens overstappen als 2e middel.
02-08-2018, 10:50 door User2048
Ik ben nieuwsgierig hoe de aanvaller de SMS codes heeft onderschept. Ik vind daarover niets in de originele posting van Reddit. Heeft iemand hiervoor een andere bron?
02-08-2018, 11:26 door Anoniem
Door User2048: Ik ben nieuwsgierig hoe de aanvaller de SMS codes heeft onderschept. Ik vind daarover niets in de originele posting van Reddit. Heeft iemand hiervoor een andere bron?

Ik weet ook niet hoe het hier gebeurt is, maar het kan op diverse manieren. Telefoonnummer van ontvangst veranderen, SIM kopieren, MitM (cable/air), gecompromiteerde telefoon, etc.

Nog niet zo lang geleden maakte ik precies dit punt dat SMS niet veilig is.
02-08-2018, 11:29 door Anoniem
Door User2048: Ik ben nieuwsgierig hoe de aanvaller de SMS codes heeft onderschept. Ik vind daarover niets in de originele posting van Reddit. Heeft iemand hiervoor een andere bron?

Een methode is sim hijacking of sim swapping. Door de provider te "social engineëren" en deze over te halen het telefoon nummer over te zetten.

https://motherboard.vice.com/en_us/article/a3q7mz/hacker-allegedly-stole-millions-bitcoin-sim-swapping
https://motherboard.vice.com/en_us/article/j5bpg7/sim-hijacking-t-mobile-stories
02-08-2018, 11:46 door Anoniem
Door User2048: Ik ben nieuwsgierig hoe de aanvaller de SMS codes heeft onderschept. Ik vind daarover niets in de originele posting van Reddit. Heeft iemand hiervoor een andere bron?
Ze hebben het niet genoemd, maar bekend is dat er kwetsbaarheden zitten in SS7 (Signaling System 7), zie b.v.
https://secure-voice.com/ss7_attacks/

Wat ook belangrijk is voor bestaande diensten die SMS gebruiken als 2e factor, is dat je dit alleen gebruikt i.c.m gsm's. Dus b.v. niet met VOIP nummers. NIST vermeldt dit nog eens expliciet in hun standaard (paragraaf 5.1.3.1):
https://pages.nist.gov/800-63-3/sp800-63b.html#out-of-band
02-08-2018, 12:10 door Leon1970
KrebsonSecurity heeft hier ook al wat over geschreven.

https://krebsonsecurity.com/2018/08/reddit-breach-highlights-limits-of-sms-based-authentication/
02-08-2018, 12:23 door Anoniem
Door User2048: Ik ben nieuwsgierig hoe de aanvaller de SMS codes heeft onderschept. Ik vind daarover niets in de originele posting van Reddit. Heeft iemand hiervoor een andere bron?

Hoe dat in dit specifieke geval gedaan is weet ik niet. Maar een manier waarop dit kan is hier beschreven: https://www.theguardian.com/technology/2016/apr/19/ss7-hack-explained-mobile-phone-vulnerability-snooping-texts-calls. SS7 wordt door telecomproviders gebruikt om o.a. telefoon/sms-verkeer te routeren als abonnees verbinding maken met andere netwerken (roaming).

SS7, ontwikkeld in de jaren 70, gaat er vanuit dat providers elkaar kunnen vertrouwen. Dat betekent ongeveer dat iemand, die zich als provider in een land naar keuze registreert en verbinding maakt met dit SS7 netwerk, jouw provider kan vertellen sms-verkeer naar zijn "telecom netwerk" te sturen omdat jouw telefoon zich daar zogenaamd zou bevinden.

Op deze manier kan een sms-bericht zelfs onderschept worden zonder dat het ooit op jouw telefoon aankomt.
02-08-2018, 12:36 door User2048
Door Leon1970: KrebsonSecurity heeft hier ook al wat over geschreven.

https://krebsonsecurity.com/2018/08/reddit-breach-highlights-limits-of-sms-based-authentication/
Klikservice:
https://krebsonsecurity.com/2018/08/reddit-breach-highlights-limits-of-sms-based-authentication/
02-08-2018, 15:08 door Anoniem
Een hoop poeha over hoe je SMS in het netwerk zou kunnen onderscheppen maar het lijkt me veel en veel simpeler:
Veel bedrijven sturen SMS via een externe partij die het dan weer aan het mobiele netwerk aanlevert.
De verbinding naar die externe partij of die partij zelf kan waarschijnlijk veel simpeler onderschept/gehacked worden
dan het protocol zelf. (zowel technisch als door middel van een inside job)
02-08-2018, 15:15 door Anoniem
Door Anoniem: Een hoop poeha over hoe je SMS in het netwerk zou kunnen onderscheppen maar het lijkt me veel en veel simpeler:
Veel bedrijven sturen SMS via een externe partij die het dan weer aan het mobiele netwerk aanlevert.
De verbinding naar die externe partij of die partij zelf kan waarschijnlijk veel simpeler onderschept/gehacked worden
dan het protocol zelf. (zowel technisch als door middel van een inside job)

Of gewoon malware op de ontvangende telefoon ...
02-08-2018, 20:28 door Anoniem
Drietrapsraket dan maar?

Als het over zo een belangrijke login code gaat, dan gewoon als derde stap je IP (of zelfs netwerk al veiliger) als derde stap zetten? Kom je er zelf niet in, dan even met SSH inloggen en nieuw IP op je server bijwerken?

Het kan wat ongemak voor een gebruiker met admin rechten zijn, maar zo in de krant komen nog vervelender. Vooral voor alle gebruikers die je vertrouwd hebben.
03-08-2018, 08:17 door Anoniem
Door Anoniem: Drietrapsraket dan maar?

Als het over zo een belangrijke login code gaat, dan gewoon als derde stap je IP (of zelfs netwerk al veiliger) als derde stap zetten? Kom je er zelf niet in, dan even met SSH inloggen en nieuw IP op je server bijwerken?

Het kan wat ongemak voor een gebruiker met admin rechten zijn, maar zo in de krant komen nog vervelender. Vooral voor alle gebruikers die je vertrouwd hebben.

Hoe wil je met SSH inloggen als je er niet in komt? Of stel je voor om admin accounts zonder 2FA te mogen gebruiken? Goed plan...
06-08-2018, 21:19 door Anoniem
SMS is geen 2 factor authenticatie als het op dezelfde device gebeurt die voor toegang wordt gebruikt. Daar gaat bijvoorbeeld ING ernstig de mist in met hun mobiel bankieren. TAN of een cardcalculator is veiliger.

Ze hebben bij Reddit al een andere manier gevonden, maar het is in soortgelijke situaties ook mogelijk om een tweetraps toegangsmethode te gebruiken. Eerst inloggen op een gateway (shell account) met certificaat en wachtwoord, en daarna vanaf die gateway inloggen op de server, eveneens met een ander certifcaat en wachtwoord. Die gateway kan zodanig worden dichtgetimmerd dat er helemaal niets in of uitkan behalve de inlogtaak. Bij elke poging direct toegang afsluiten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.