Reddit 昨天宣布,6
月份时的一个信息安全漏洞导致攻击者入侵了该公司内部系统的某些部分,但泄露的数据并非敏感数据。值得注意的是,这次攻击绕开了
Reddit
通过短信实现的双因子认证系统。这也给仍在使用短信来部署双因子认证的互联网服务敲响了警钟。

6 月份 Reddit 系统遭到黑客入侵,在该事件中,攻击者绕开了 Reddit
通过短信实现的双因认证系统,给仍在使用短信来部署双因认证的互联网服务敲响了警钟。而近日,Gmail
的双因认证系统也被攻陷。

由于最近一系列围绕“数字身份盗窃”的数据泄露事件发生,隐私方面的担忧正成为增加支出的催化剂。比如今年7月,新加坡150万公民医保记录遭到泄露,其中甚至包括总理李显龙的个人数据;纽约创业者兼加密货币投资者Michael
Terpin起诉美国电信运营商AT&T,指控其欺诈并存在重大过失,导致个人账户中的加密货币丢失,并希望索赔2.24亿美元。一项最新研究显示,自去年以来,数据泄露造成的经济损失已超过6%,而现在数据泄露的平均成本为386万美元。Juniper
Research预测,2023年将有超过330亿条个人记录将通过犯罪数据泄露事件曝光,比今年的120亿条记录同比上升175%。未来5年,网络犯罪分子将窃取超过1460亿条记录。2019年,隐私问题将推动安全服务市场需求至少增加10%,身份和访问管理(IAM)、身份治理和管理(IGA)、数据损失预防(DLP)等领域需求将得到明显提升。身份数据“木桶效应”显现
传统技术已无法阻挡黑客脚步更为要紧的是,传统身份技术已经无法阻挡黑客的攻击。近日,Reddit宣布,6
月份的一个信息安全漏洞导致攻击者入侵了该公司内部系统的某些部分。值得注意的是,这次攻击绕开了Reddit通过短信实现的双因子认证(Two-Factor
Authentication)系统,这也给仍在使用短信来部署双因子认证的互联网服务敲响了警钟。其实,全球普遍采用的双因子认证系统非常脆弱,黑客先使用伪基站获取用户手机号,再通过网上泄露的数据库,根据手机号码反查用户的姓名、身份证号、银行账号等信息。然后在某些网站启动注册或交易,并利用和用户位置相近的特点窃取用户短信验证码。通过短信验证码登录账号后,黑客可以获取用户的快递地址、消费记录、通讯录等隐私信息,还可以通过“撞库”、“拖库”等方式,就像拼图一样集齐用户的姓名、身份证、银行卡号等信息。在黑客术语里面,
“拖库”是黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。在取得大量用户数据之后,黑客会通过一系列技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”,因为很多用户喜欢使用统一的用户名密码,“撞库”也可以使黑客收获颇丰。黑色产业链攻击会考虑性价比,根据目标价值采用相应的技术手段,对于用户来说,从隐私数据入手,依然是最廉价的。简单的密码基本没什么用,都在黑客的密码字典里。密码绝大部分是加密存储,有一个秘文,通过解密算法也无法得到明文,但此前有些网站的数据库明文加密文一起泄露,而明文和密文构成一张表,这就是黑客的密码字典。早在几年前,信息泄露的数据量以亿计算,黑客手中掌握的社工库数据有上百亿条。除非特别复杂、个性且经常更换的密码,否则基本都在黑客的密码字典里。

图片 1

双因认证(2FA)是一种身份认证机制,与单因认证只需要用户提供密码不同,2FA
需要用户提供两种不同的认证因子来证明自己的身份,其中一个因子是密码,另一个因子通常情况下是一个安全令牌或生物识别因子,比如指纹。

Reddit 首席技术官克里斯·斯洛维(Chris Slowe,即
KeyserSosa)在博客中解释 称,该公司于
6 月 19 日发现了这次黑客攻击,估计攻击发生在 6 月 14 日到 18
日之间。他表示,这次攻击“影响了少量我们的员工帐号,以及云计算和代码托管服务提供商”,获得了“访问某些系统的只读权限,这些系统中包含备份数据、源代码和其他日志文件”。

cnbeta
报导,安全专家表示,近期网络钓鱼活动日益猖獗,并且利用技术手段绕过了被
Gmail 和 Yahoo Mail
广泛使用的双因认证保护系统。

此次攻击绕开了双因子身份验证系统。不幸的是,这个系统偶尔或可选地允许使用短信,而不是专门的验证应用或令牌卡。短信存在严重的固有安全缺陷,这种方法于
2016 年 被
NIST(美国国家标准与技术研究院)宣布为不可接受 。不过,短时间内取消短信并不现实,许多服务仍然使用短信做出主要或备用的双因子验证方法。

安全公司 Certfa Lab
的研究人员指出,黑客收集了攻击目标的详细信息,并利用了这些信息撰写了相应的钓鱼网络邮件。这些邮件中包含一张隐藏照片,在攻击目标浏览该信息的时候就会自动激活。

需要指出,Reddit
本身只通过令牌卡来提供双因子身份认证。但事实证明,至少有一家供应商没有这样做,而攻击者恰恰利用了这点。(斯洛维表示,已经确认没有手机遭到黑客攻击,这意味着作为认证的短信代码在其他地方被拦截,有可能是通过欺骗手机或供应商的方式。)

用户在虚假的 Gmail 或者 Yahoo
安全页面输入密码之后,攻击者会根据输入凭证转向到真实的登陆页面。如果目标帐户受到
2FA
的保护,则攻击者会将目标重定向到请求一次性密码的新页面,如给用户发送短信验证码。

尽管 Reddit
尚未提供黑客已获取内容的完整清单,但斯洛维表示,用户关心的主要有两个方面:

图片 2

  • 一份从 2007
    年开始、包括网站运营前两年数据的完整拷贝。数据中包括用户名、加密/散列密码、电子邮件地址、公开发布的内容和私信消息。

  • 6 月份的邮件摘要、用户名和相关邮件。

研究人员解释,攻击者会在自己的服务器上实时检查受害者的用户名和密码,而且即使攻击目标启用了例如短信、认证
APP 或者一键式登陆的双因认证,也仍然会被欺骗并漏洞信息。

与 2007 年时相比,Reddit 已经完全不同,规模要大很多。曾经使用 Digg
的用户还会记得,Reddit 当时只是个很小的平台。

目前 Certfa Lab 发言人称他们已经证实该技术能够成功入侵基于 SMS
短信双因保护的谷歌账号,但无法确认其能否通过 Google Authenticator 或者
Duo Security 配套 APP 传输一次性密码。

尽管如此,这些数据组合在一起对恶意分子来说仍然有用。如果我是攻击者,我就会发送假的邮件摘要引诱用户登录,或建立用户名和电子邮件地址配对表,并与其他网站的信息进行匹配。当然正如斯洛维所说,你可能会关心,“Reddit
帐号上是否有任何信息是你不想被关联到电子邮件地址的。”

(文/开源中国)    

如果你受到影响,那么你会收到电子邮件或私信,告知你可能的风险。例如,如果你的密码自
2007 年以来从未更改过。但实际上,这本身就是个安全风险。我于 2007 年 7
月注册 Reddit,但尚未收到这样的通知。

斯洛维还指出,该公司已经按要求通知相关部门,并在事故发生后对信息安全进行了加固。

来源:techcrunch