Reddit ha reso noto che, intorno alla metà di giugno, un criminale si sarebbe introdotto nei loro sistemi, riuscendo a rubare alcune informazioni tra cui indirizzi mail degli utenti e un vecchio backup del database, risalente al 2007.Nello specifico, tra il 14 e il 18 giugno l'hacker sarebbe riuscito a entrare in possesso dei dati degli account di alcuni dipendenti sfruttando la poca sicurezza dell'autenticazione a due fattori, basata ancora sull'invio del codice OTP via SMS.
Secondo KeyserSosa, l'ingegnere di Reddit che ha riportato la notizia, l'hacker avrebbe avuto accesso solo ad alcuni backup, log e a parte del codice sorgente. Questi accessi sarebbero inoltre stati in sola lettura, non dando quindi al malintenzionato la possibilità di apportare modifiche all'infrastruttura del sito.
Dopo un'indagine approfondita, si è scoperto che il backup conteneva indirizzi mail, messaggi e credenziali di accesso degli utenti che hanno utilizzato il sito dal 2005 (anno di lancio) a maggio 2007. Le password erano crittografate con una funzione salt, e Reddit sta informando gli utenti coinvolti in modo che le possano sostituire.
Sarebbero stati trafugati anche dei log contenenti alcune mail che il portale ha inviato agli utenti tra il 3 e il 17 giugno: da qui sarebbe possibile risalire a nome utente e indirizzo mail associato, quindi è bene controllare che il proprio profilo non sia a rischio. Per farlo, basta controllare se si sono ricevute mail dall'indirizzo norepy@redditmail.com.
Conferma via SMS, non molto sicura
L'hacker sarebbe riuscito nel suo intento grazie anche alla poca sicurezza dell'autenticazione a due fattori tramite SMS. A causa dei difetti del protocollo SS7 (Signaling System Seven), noti ormai da anni, risulta abbastanza semplice effettuare un attacco di tipo "man in the middle" per intercettare le password OTP ricevute via SMS.
Questo metodo di invio della password è stato via via abbandonato in favore di sistemi più sicuri, come l'utilizzo di applicazioni per smartphone. Sembra che anche Reddit, dopo l'accaduto, si sia deciso ad abbandonare gli SMS in favore di Google Authenticator.
Nonostante siano migliori degli SMS o delle chiamate automatiche in cui viene comunicato il codice, anche le app potrebbero essere compromesse a causa di attacchi di social engineering o di malware presenti sul dispositivo.
Un'app di autenticazione è considerata abbastanza sicura, ma un''alternativa ancora migliore sta nell'utilizzo di chiavi fisiche: dopo la prima autenticazioni, avvenuta in maniera "classica" tramite l'inserimento della password, l'utente deve inserire la chiave nel proprio computer e premere un tasto. La chiave si occupa della seconda fase di autenticazione, inviando una password crittografata al sito, il quale permette a questo punto l'accesso.
Se siete interessati alla crittografia, un'ottima lettura è l'ultimo libro di Michele Elia, disponibile qui.