Foto: Reuters/kacper pempel

Hacker dringt in IT-System von Reddit ein

2. August 2018, 12:25

Angreifer konnte SMS für die Zwei-Faktor-Authentifizierung für Mitarbeiter abfangen

Reddit hat am Mittwoch in einer offiziellen Stellungnahme bekannt gegeben, dass ein Hacker in das IT-System von Reddit eingedrungen ist. Der Angreifer konnte sich zwischen dem 14. und 18. Juni 2018 Zugriff auf eine Datenbank und einige Nutzerdaten verschaffen. Konkret betroffen sind aktuelle E-mail-Adressen und eine Reddit-Datenbank aus den Jahren 2005 bis 2007. Wie Reddit weiters schreibt, seien in dieser Datenbank Benutzernamen, Passwörter und E-mail-Adressen enthalten. Zudem hätte der Angreifer für den Zeitraum zwischen 2005 und Mai 2007 auch Zugriff auf private Nachrichten von Nutzern erhalten.

Reddit informiert Nutzer

Wie das Unternehmen mitteilt, wird Reddit die betroffenen Nutzer mittels "privater Nachricht" über den Hack informieren. Nutzer, die sich erst nach 2007 registriert haben, sind von dem Angriff nicht betroffen. In der Stellungnahme beteuert Reddit, dass der Angreifer "keinen Schreibzugriff" auf die Reddit-Systeme, sondern lediglich einen "Lesezugriff" erhielt.

Zugriff über Accounts von Mitarbeitern

Der Zugriff erfolgte über die Konten von Reddit-Mitarbeitern. Diese erhalten in der Regel über eine "Zwei-Faktor-Authetifizierung" per SMS Zugang zum IT-System. Wie Reddit mitteilte, ist es dem Angreifer gelungen SMS abzufangen."Wir haben gelernt, dass die SMS-Authentifizierung nicht so sicher ist, wie wir gedacht haben", so Reddit in der Stellungnahme. In Zukunft werde das Unternehmen ihre Mitarbeiter dazu "ermutigen", sich über Hardware-Tokens zu authentifizieren.

E-mail-Logs mit Benutzernamen

Wie Reddit weiters mitteilte, soll der Angreifer auch auf "Log-Dateien des Reddit E-mail Digest" zugegriffen haben. Dabei handelt es sich um Zusammenfassungen von interessanten Meldungen, die zwischen dem 3. und 17. Juni 2018 via E-mail verschickt wurden. Nutzer, die ihre E-mail-Adresse mit dem Konto nicht verbunden haben oder die E-mail-Zusammenfassungen nicht genutzt haben, sind nicht betroffen.

Passwort ändern

Betroffenen Nutzern rät Reddit dazu, dass sie überprüfen sollen, ob sie ihr Passwort auch für andere Webseiten und Logins verwendet haben. Sofern dies der Fall ist, sollte man dieses umgehend ändern. Reddit-Passwörter, die seit 2007 nicht geändert wurden, werden automatisch von Reddit zurückgesetzt. Weitere Hilfestellungen bietet das Unternehmen auf seiner Webseite an. Mittlerweile untersucht die Strafverfolgungsbehörde den Vorfall. (mapa, 02.08.2018)

Links

Reddit