Reddit,  the social network was victim of a serious hack that has compromised the security of some of its users’ data, announced Wednesday.

In a statement published to the site, Reddit informed its users that it learned on June 19 that an attacker had gained access to the data through the company’s cloud after compromising some employee accounts sometime between June 14-18.

The breach was mainly limited to read access to  data including emails and scrambled passwords, prior to 2007. The hacker did not gain write access to its systems, meaning they were unable to alter Reddit information.

In the statement, Reddit mentioned that their employee accounts tied to the breach were protected by SMS-based two-factor authentication, the intruder(s) managed to intercept that second factor.

This is a new use case prooving that relying on mobile text messages (SMS) for two-factor authentication (2FA) can only provide false sense of security to companies and end users.

Recommendation

I would recommend all readers to pay a visit to twofactorauth.org, and to take full advantage of the most secure 2FA option available for any site you frequent.

If the only 2FA options offered by a site you frequent are SMS and/or phone calls, this is still better than simply relying on a password.

Inspired by  Krebs article

Reddit a été victime d’un piratage qui a compromis la sécurité de certaines données de ses utilisateurs, mais a refusé de divulguer son échelle.

Dans une déclaration publiée sur le site, Reddit a informé ses utilisateurs qu’il avait appris le 19 juin qu’un pirate avait accédé aux données via le cloud de l’entreprise après avoir compromis certains comptes d’employés entre le 14 et le 18 juin. Bien que la violation ait été qualifiée de «sérieuse», elle était principalement limitée aux données, y compris les adresses mails et les mots de passe brouillés, avant 2007.

Le pirate n’a pas eu accès en écriture à ses systèmes, ce qui l’empêchait de modifier les informations Reddit.

Il convient de noter en particulier que bien que les comptes d’employés Reddit liés à la violation aient été protégés par une authentification à deux facteurs basée sur SMS, les intrus ont réussi à intercepter ce second facteur.

Ce qui est intéressant à propos de l’incident, c’est qu’il démontre une fois de plus pourquoi l’utilisation de SMS pour l’authentification à deux facteurs (2FA) peut donner aux entreprises et aux utilisateurs finaux un faux sentiment de sécurité.

Recommandation

J’encourage tous les lecteurs à visiter twofactorauth.org et à profiter pleinement de l’option 2FA la plus sécurisée disponible pour tous les sites que vous fréquentez.

Si les seules options 2FA offertes par un site que vous fréquentez sont des SMS et / ou des appels téléphoniques, c’est toujours mieux que de simplement se fier à un mot de passe.

A propos de l'auteur

Founder of DigitLys-Mag
Google+

Cyber Threat Analyst & Security researcher. Founder and Technical Writer for DigitaLys-Mag

Articles similaires