Reddit: Hacker kann Zwei-Faktor-Authentifizierung überwinden

Über den Reddit-Account eines Mitarbeiters sind Daten eines älteren Reddit-Backups von 2007 entwendet worden. Wie das Unternehmen eingestehen musste, konnte selbst die eingesetzte Zwei-Faktor-Authentifizierung nicht vor dem Angriff schützen. Der Hacker hat dabei eine fast komplette Datenbank aus dem Jahr 2007 erbeutet, welche nicht nur E-Mails der damaligen Nutzer, sondern auch deren Passwörtern, allerdings in einem Hash-Format, beinhaltete.

(Bild: Das Reddit-Logo)

Dem oder den Hackern sei zwar nur ein Lesezugriff für die Dateien geglückt. Bedingt durch die weitreichenden Rechte des Mitarbeiters konnten aber auch Quellcode, interne Log- und Konfigurationsdateien sowie Mitarbeiterdaten eingesehen werden. Der Vorgang wurde bereits den Strafverfolgungsbehörden gemeldet.

Allen Reddit-Nutzern wird nahe gelegt das aktuelle Passwort zu ändern, wenn dieses bereits älter als zehn Jahre ist.

Darüber hinaus wird das SMS-Verfahren für die Zwei-Faktor-Authentifizierung als eher unsicher eingestuft. Künftig müssen Mitarbeiter von Reddit auf ein Token-System für die Zwei-Faktor-Authentifizierung zurückgreifen, welches auch den Nutzern bereits zur Verfügung steht und empfohlen wird.