Lộ thông tin trên Reddit do lỗi xác thực tin nhắn hai yếu tố

Một vụ lộ thông tin trên Reddit đã xảy ra gây lộ địa chỉ email cũng như thông tin tài khoản của người dùng.

securitydaily Lộ lọt thông tin trên Reddit do lỗi xác thực tin nhắn hai yếu tố

Reddit xác nhận rằng vào hôm thứ 4 đã xảy ra một vụ lộ thông tin trên Reddit. Hệ thống của trang web này đã bị đột nhập và dữ liệu của người dùng bao gồm địa chỉ email và mật khẩu đã bị truy cập.

Trong thông báo chính thức ngày hôm nay, Reddit cho biết vụ lộ thông tin này xảy ra giữa ngày 14 và 18 tháng 6. Công ty phát hiện ra vụ việc vào ngày 19 tháng 6.

Đại diện của Reddit phát biểu: “Chúng tôi đã phát hiện một kẻ tấn công nhắm vào một số tài khoản và gây lộ thông tin trên Reddit bằng máy chủ đám mây và mã nguồn thông qua việc chặn mã xác thực tin nhắn hai yếu tố (2FA SMS). Chúng tôi đang làm việc với các nhà chức trách và thực hiện các biện pháp nhằm xử lí vụ lộ thông tin này cũng như ngăn chặn các vụ việc tương tự trong tương lai.”

Những biện pháp được thực hiện bao gồm bảo mật truy cập kĩ lưỡng hơn với phương thức xác thực hai yếu tố dựa trên mã token.

Người đại diện không cho biết vụ lộ thông tin trên Reddit này ảnh hưởng đến chính xác bao nhiêu người dùng mà chỉ nói rằng “một số ít người dùng bị ảnh hưởng và đã được thông báo cụ thể.”

“Phương thức xác thực tin nhắn hai yếu tố không bảo đảm như chúng tôi muốn. Chúng tôi chỉ ra điều này để khuyến khích mọi người chuyển sang xác thực hai yếu tố dựa trên mã token.”

Kẻ tấn công gây ra vụ lộ thông tin trên Reddit đã truy cập toàn bộ dữ liệu của trang web từ trước và sau năm 2007, bao gồm thông tin tài khoản và địa chỉ email thông qua cơ sở dữ liệu backup năm 2007 có các mật khẩu cũ đã qua mã hóa.

Kẻ tấn công này cũng truy cập dữ liệu chứa các email tự động do Reddit gửi từ ngày 3 đến ngày 17 tháng 6 năm 2018. Hệ thống email tự động này kết nối tên người dùng với email tương ứng và bao gồm các bài viết gợi ý từ các chủ điểm phổ biến và an toàn trên Reddit.

Tên tin tặc này không có quyền truy cập và thay đổi mà chỉ có quyền đọc hệ thống Reddit có chứa dữ liệu backup, mã nguồn và các ghi chép dữ liệu khác. Hắn cũng không thể thay đổi thông tin của trang web. Sau vụ lộ thông tin trên Reddit này, trang web đã giải thích “chúng tôi đã thực hiện các biện pháp nhằm khóa bảo mật và thay đổi tất cả các bí mật hoạt động và khóa API nhằm cải thiện hệ thống ghi và giám sát dữ liệu của chúng tôi.

Cộng đồng bảo mật tin học đã lên Twitter để cảnh bảo về sự yếu kém của phương thức xác thực tin nhắn hai yếu tố, trong đó có cả nhà nghiên cứu bảo mật Thomas Ptacek, người đã nhấn mạnh trên Twitter rằng “phương thức này không hiệu quả.”

Reddit đã nhắn tin cho các người dùng bị cướp thông tin mật khẩu đang sử dụng để cảnh báo họ cần đổi mật khẩu ngay lập tức.

Threatpost

> Giải pháp bảo mật toàn diện dành cho website, đăng ký miễn phí 14-ngày tại đây <