Datos de usuarios de Reddit expuestos a ataques

La empresa ha reconocido el incidente de seguridad

Especialistas de seguridad en redes informáticas reportan que un hacker que comprometió las cuentas de algunos empleados de Reddit que trabajan con los proveedores de hospedaje de código fuente y servicios en la nube de la compañía penetró en algunos de sus sistemas y accedió a datos de usuarios, incluyendo direcciones de correo electrónico y una copia de seguridad de una base de datos que contenía contraseñas antiguas.

“Nos encontramos implementando autenticación de dos factores (2FA) para los principales puntos de acceso al código para fortalecer la seguridad de los usuarios. Hemos descubierto que la autenticación basada en SMS no es tan segura como esperábamos, y el ataque principal fue a través de intercepción de SMS”, menciona un comunicado de la compañía.

Expertos de seguridad en redes informáticas del Instituto Internacional de Seguridad Cibernética respaldan la decisión de Reddit de implementar la autenticación de dos factores.

Reportes de expertos en seguridad en redes informáticas están de acuerdo en que Reddit aprendió de la peor manera sobre lo endeble de sus medidas de seguridad pues, a pesar de que las cuentas estaban seguras usando la autenticación de dos factores, Reddit usaba autenticación basada en SMS. Los expertos han argumentado durante mucho tiempo que los SMS no son suficientemente seguros para usarse como factor de autenticación.

Los hackers pueden interceptar SMS usando estaciones base falsas o ataques de suplantación de suscriptores, que es lo que sucedió en el caso de Reddit, se utilizó una técnica de intercepción de SMS para eludir la autenticación de dos factores.

Para los investigadores de seguridad en redes informáticas, la autenticación SMS es más segura que sólo una contraseña, pero son vulnerables a ataques un poco más complejos. Los hackers pueden robar el número de teléfono de la víctima transfiriéndolo a una tarjeta SIM diferente con relativa facilidad, obteniendo así acceso a mensajes de texto y, por lo tanto, autenticación basada en SMS. Los datos necesarios se encuentran con relativa facilidad en sitios de dark web debido al creciente número de violaciones de privacidad que sufren las organizaciones.

Reddit, que se enteró el 19 de junio acerca del ataque, que se presentó entre el 14 y el 18 del mismo mes, mencionando que una “investigación minuciosa” reveló que el atacante obtuvo acceso de sólo lectura a algunos sistemas que contenían datos de copias de seguridad, código fuente y otros registros, pero que el hacker fue incapaz de modificar.

El atacante pudo acceder a todos los datos de 2007 y años anteriores, incluidas las credenciales de acceso y las direcciones de correo electrónico, y accedió a la copia de seguridad de la base de datos que contenía datos de usuarios de 2005, cuando se lanzó el sitio, hasta mayo de 2007.

La compañía dijo que ha informado sobre el hack a las autoridades y además se encuentra notificando a los usuarios e implementando medidas, como el cifrado adicional y la autenticación de dos factores basada en tokens, para asegurar mejor los puntos de acceso a sus sistemas.

Aunque esto no parece ser suficiente para muchos especialistas en seguridad en redes informáticas, pues les preocupa que Reddit parezca estar minimizando la violación de datos ya que fue un acceso de sólo lectura a sus bases de datos. Si bien las medidas son positivas, no reduce la gravedad de la violación de datos que la empresa sufrió.