2FA

Reddit, bucata la sicurezza a doppio fattore

La “front page di Internet” ha subito un attacco da parte di ignoti, i dati violati risalgono a parecchio anni or sono ma l’incidente mette in evidenza una falla del sistema di autenticazione “sicuro” usato dall’azienda.

0
816

Reddit, la popolare “community di community” dedicata all’aggregazione di contenuti e all’interazione social degli utenti, ha di recente subito una grave breccia nei server. Nel comunicare l’accaduto, il management ha promesso miglioramenti per un sistema di autenticazione che, evidentemente, era fin qui considerato più sicuro di quanto fosse in realtà.

L’incidente, stando a quanto rivelato dal CTO di Reddit Christopher Slow, si è verificato tra 14 e il 18 giugno scorsi, mentre la corporation ne è venuta a conoscenza il 19 giugno. Ignoti cyber-criminali hanno trovato il modo di accedere a un vecchio database, contenente i dati degli utenti che hanno registrato un account nei primi tre anni di attività del servizio (2005-2007).

Bucato Reddit

I criminali hanno violato una copia completa del vecchio database, spiegano da Reddit, compromettendo dati più o meno sensibili come le credenziali di accesso (nome utente+hash della password), indirizzi e-mail e tutti i contenuti (post pubblici, messaggi privati) riconducibili al periodo in oggetto.

La qualità dei dati potenzialmente compromessi non è allarmante, suggerisce la corporation, ben diversa è invece la situazione con il vettore usato dai criminali: l’hack sarebbe stato condotto intercettando gli SMS usati per l’autenticazione a doppio fattore (2FA), un meccanismo che ora Reddit dice non essere sicuro quanto si sperava.

Incassato il colpo della breccia di sicurezza, ora la corporation si dice impegnata a contattare tutti gli utenti interessati dal problema per il reset della password di accesso al servizio. Nuove misure verranno implementate per garantire un processo di autenticazione più sicuro, mentre per quanto riguarda l’accesso 2FA viene consigliato il passaggio dagli SMS su cellulare a un sistema di token come Google Authenticator.

PCProfessionale © riproduzione riservata.