Reddit, die Seite, die sich selbst die Frontseite des Internets nennt, ist mittlerweile eine der meistbesuchten Webseiten. Laut Alexa Internet ist sie Nummer 3 in den USA und Nummer 6 Weltweit, was enorm ist. Man stelle sich nur einmal vor, wie viele Nutzer das sind – oder wie schlimm es wäre, wenn reddit mit all diesen vielen Nutzern gehackt würde. Und genau das ist passiert.
Die gestohlenen Daten sind aaaaaaalt
Laut reddit selbst fand der Angriff zwischen dem 14ten und 18ten Juni statt. Die Cyberkriminellen schafften es anscheinend über kompromittierte Accounts von Angestellten Zugriff auf verschiedene Systeme zu erlangen. Dazu gehörten Backup-Daten, Source-Codes und einige Logs. Reddit bestätigt, dass es ein sehr schwerwiegender Hack war betont aber im gleichen Atemzug, dass es wesentlich schlimmer hätte ausgehen können.
Reddit selbst listet folgende Daten als gestohlen auf:
- Alle Daten von 2007 und davor: Das beinhaltet Accountdaten (Nutzernamen und verschlüsselte Passwörter), Email-Adressen und öffentliche sowie private Nachrichten. Die Seite selbst wurde 2005 gestartet, das bedeutet also, dass insgesamt 2 Jahre an Daten abhanden gekommen sind.
- Email Digests (eine Art personalisierter Newsletter) von Juni 2018. Die Logs dieser „Newsletter“ beinhalten sowohl Nutzernamen als auch die dazugehörigen Email-Adressen und Inhalte der Mail.
Falls Sie ebenfalls zu den Betroffenen zählen sollten, dürften Sie in Kürze eine Mail von reddit erhalten (oder bereits erhalten haben), die Ihnen weitere Informationen zukommen lässt. Wenn Sie nicht betroffen sind, aber einen sehr alten Account haben und a) noch nie Ihr Passwort geändert haben und / oder das gleiche Passwort auf anderen Seiten verwenden, ist übrigens jetzt die beste Zeit, es zu ändern.
Ja, 2FA kann ausgehebelt werden
Wenn Sie sich nun denken, dass reddit nur eine weitere Firma ist, die keinen Wert auf Sicherheit legt, liegen Sie falsch. Anscheinend haben die betroffenen Angestellten sogar eine Art der Zwei-Faktor-Authentifizierung (2FA) genutzt – nur leider eben die, die am unsichersten ist, nämlich die SMS-Version. Hier können die Kurznachrichten nachweislich viel zu einfach abgefangen werden. Das US National Instuitute for Standards and Technology hat vor einigen Jahren generell dazu geraten, diese Art der 2FA nicht mehr zu nutzen.
Dennoch gilt: Bevor Sie komplett auf eine Zwei-Faktor-Authentifizierung verzichten, nutzen Sie auf jeden Fall die über SMS, wenn verfügbar. Sollten Sie jedoch eine Wahl haben, ist es immer besser sich für alternative Systeme wie zum Beispiel das tokenbasierte zu entscheiden.
