
Laut reddit selbst fand der Angriff zwischen dem 14ten und 18ten Juni statt. Die Cyberkriminellen schafften es anscheinend über kompromittierte Accounts von Angestellten Zugriff auf verschiedene Systeme zu erlangen. Dazu gehörten Backup-Daten, Source-Codes und einige Logs. Reddit bestätigt, dass es ein sehr schwerwiegender Hack war betont aber im gleichen Atemzug, dass es wesentlich schlimmer hätte ausgehen können.
Reddit selbst listet folgende Daten als gestohlen auf:
Falls Sie ebenfalls zu den Betroffenen zählen sollten, dürften Sie in Kürze eine Mail von reddit erhalten (oder bereits erhalten haben), die Ihnen weitere Informationen zukommen lässt. Wenn Sie nicht betroffen sind, aber einen sehr alten Account haben und a) noch nie Ihr Passwort geändert haben und / oder das gleiche Passwort auf anderen Seiten verwenden, ist übrigens jetzt die beste Zeit, es zu ändern.
Wenn Sie sich nun denken, dass reddit nur eine weitere Firma ist, die keinen Wert auf Sicherheit legt, liegen Sie falsch. Anscheinend haben die betroffenen Angestellten sogar eine Art der Zwei-Faktor-Authentifizierung (2FA) genutzt – nur leider eben die, die am unsichersten ist, nämlich die SMS-Version. Hier können die Kurznachrichten nachweislich viel zu einfach abgefangen werden. Das US National Instuitute for Standards and Technology hat vor einigen Jahren generell dazu geraten, diese Art der 2FA nicht mehr zu nutzen.
Dennoch gilt: Bevor Sie komplett auf eine Zwei-Faktor-Authentifizierung verzichten, nutzen Sie auf jeden Fall die über SMS, wenn verfügbar. Sollten Sie jedoch eine Wahl haben, ist es immer besser sich für alternative Systeme wie zum Beispiel das tokenbasierte zu entscheiden.