Gặp lỗi xác thực tin nhắn hai yếu tố, người dùng Reddit bị lộ thông tin

Một vụ lộ thông tin trên Reddit đã xảy ra gây lộ địa chỉ email cũng như thông tin tài khoản của người dùng

Trong thông báo chính thức ngày hôm nay, Reddit đã lên tiếng xác nhận về vụ việc. Hệ thống của trang web này đã bị đột nhập và các dữ liệu của người dùng bao gồm địa chỉ email và mật khẩu đã bị truy cập. Reddit cho biết vụ việc này xảy ra giữa ngày 14 và 18 tháng 6 và được công ty phát hiện vào ngày 19 tháng 6.

Đại diện của Reddit phát biểu: “Chúng tôi đã phát hiện một kẻ tấn công nhắm vào một số tài khoản và gây lộ thông tin trên Reddit bằng máy chủ đám mây và mã nguồn thông qua việc chặn mã xác thực tin nhắn hai yếu tố (2FA SMS). Chúng tôi đang làm việc với các nhà chức trách và thực hiện các biện pháp nhằm xử lí vụ lộ thông tin này cũng như ngăn chặn các vụ việc tương tự trong tương lai.”

Những biện pháp bảo mật truy cập kỹ lưỡng hơn với phương thức xác thực hai yếu tố dựa trên mã token đã được thực hiện. Người đại diện không cho biết vụ lộ thông tin này có ảnh hưởng chính xác bao nhiêu đến người dùng mà chỉ thông báo rằng “một số ít người dùng bị ảnh hưởng và đã được thông báo cụ thể.”

“Phương thức xác thực tin nhắn hai yếu tố không bảo đảm như chúng tôi muốn. Chúng tôi chỉ ra điều này để khuyến khích mọi người chuyển sang xác thực hai yếu tố dựa trên mã token.”

Kẻ thực hiện vụ tấn công trên đã truy cập toàn bộ dữ liệu của trang Reddit từ trước và sau năm 2007, bao gồm thông tin các tài khoản và địa chỉ email thông qua dữ liệu được backup năm 2007 cùng với các mật khẩu cũ đã qua mã hóa.

Hắn cũng truy cập dữ liệu chứa các email tự động do Reddit gửi từ ngày 03 đến ngày 17 tháng 6 năm 2018. Hệ thống email tự động này kết nối tên người dùng với email tương ứng và bao gồm các bài viết gợi ý từ các chủ điểm phổ biến và an toàn trên Reddit.

Tuy nhiên tên tin tặc này không có quyền truy cập và thay đổi mà chỉ có quyền đọc hệ thống Reddit có chứa dữ liệu backup, mã nguồn và các ghi chép dữ liệu khác. Thông tin của trang web cũng không thể thay đổi. Sau vụ lộ thông tin trên Reddit này, trang web đã giải thích “chúng tôi đã thực hiện các biện pháp nhằm khóa bảo mật và thay đổi tất cả các bí mật hoạt động và khóa API nhằm cải thiện hệ thống ghi và giám sát dữ liệu của chúng tôi.

Cộng đồng bảo mật tin học đã lên Twitter để cảnh bảo về sự yếu kém của phương thức xác thực tin nhắn hai yếu tố, trong đó có cả nhà nghiên cứu bảo mật Thomas Ptacek, người đã nhấn mạnh trên Twitter rằng “phương thức này không hiệu quả.”

Reddit cũng đã gửi tin nhắn tới những người dùng bị cướp thông tin mật khẩu đang sử dụng để cảnh báo họ cần đổi mật khẩu ngay lập tức.

Nguồn: SecurityDaily.net