Nutzerdaten gestohlen 02.08.2018, 22:08 Uhr

Reddit-Hack zeigt Schwächen von 2FA via SMS

Cyberkriminelle haben erfolgreich einen Angriff auf die Reddit-Plattform ausgeführt und dabei zahlreiche Nutzerdaten kopiert. Für den Zugang haben die Hacker eine SMS für die 2-Faktor-Authentifizierung (2FA) abgefangen und den dahinterliegenden Account gekapert.
(Quelle: Tero Vesalainen / Shutterstock.com)
Reddit ist Opfer eines Cyberangriffs geworden: Wie das Online-Portal mitteilt, ist es den Hackern gelungen, auf verschiedene Systeme zuzugreifen und dabei einige aktuelle E-Mail-Adressen sowie ein Datenbank-Backup aus dem Jahr 2007 zu kopieren. Soweit dies überhaupt möglich ist, will Reddit die betroffenen Nutzer über den Angriff informieren. Ausserdem werden die Passwörter dieser Accounts zurückgesetzt. Wer die auf Reddit genutzten Zugangsdaten zusätzlich für andere Dienste gebraucht, sollte diese ebenfalls erneuern.
Der Angriff erfolgte über einen abgefangenen Zugangscode für die eingerichtete 2-Faktor-Authentifizierung (2FA). Dieser wurde per SMS versandt, was weit unsicherer ist als die Nutzung von 2FA-Lösungen auf Basis von Hardware-Token - wie Reddit schmerzlich feststellen musste. Als Reaktion auf den Angriff hat das Portal sämtliche Systeme auf eine mehrstufige Anmeldung per Hardware-Token umgestellt. Ausserdem wurden die zuständigen Behörden über den Vorfall informiert.

Bildergalerie
Online-Konten lassen sich dank einer 2-Faktor-Authentifizierung (2FA) mit einer zusätzlichen Sicherheitsebene schützen. Über 2FA-Apps gelingt die Anmeldung auch ganz ohne Netzverbindung bequem auf dem Smartphone.

Darüber hinaus rät das Portal seinen Nutzern, ihre eigenen Accounts ebenfalls per 2FA abzusichern. Dies ist in Reddit lediglich per Authenticator-App möglich und nicht via SMS. Eine Auswahl empfehlenswerter 2FA-Apps finden Sie in unserem Beitrag "Die besten 2FA-Apps im Überblick".
Sicherheitsexperten empfehlen seit langem eine Abkehr von SMS-basierter Authentifizierung wie etwa auch dem mTAN-Verfahren beim Online-Banking. Nur allzu einfach können die Zugangscodes von Angreifern abgefangen und missbraucht werden.




Das könnte Sie auch interessieren