あるAnonymous Coward曰く、

Redditがサイバー攻撃を受け、利用者データなどについて第三者が閲覧できる状態になっていた明らかにした。このデータにはメールアドレスやハッシュ化されたパスワードが含まれているという。

Redditによると、6月19日に同社従業員の複数のアカウントが攻撃者に奪取されたことが発覚したという。攻撃を受けたのは6月14日から18日の間で、このアカウントには同社が利用しているクラウドやソースコード管理システムへにアクセスするためのものも含まれていた。

同社はコードやシステムインフラにアクセスするための認証時に2要素認証を導入しており、ユーザー名やパスワードによる認証に加えて、SMS経由での認証も必要になっていた。しかし、「SMS intercept」という手法を使ってこの2要素認証も突破されてしまったそうだ。

奪取されたのはリードオンリーの権限だったため、Redditのシステムが改ざん・破壊されるといった被害はなかったものの、攻撃者はRedditの2007年以降のすべてのデータにアクセス可能であり、これによってアカウント情報やメールアドレス、2018年にRedditからユーザーに送信されたメールの内容が盗まれた可能性があるという。

昨今ではセキュリティの強化を目的として2要素認証の利用が推奨されているが、SMSを利用した2要素認証（SMSでワンタイムパスワード的な認証コードを送信し、その入力を求める）方法については、以前より危険性が指摘されていた（The Verge）。具体的な手法としては、SMSの情報を不正に書き換える「SIM swapping」というものや（過去記事）、SMS受信時に本文を含んだ通知を表示するような設定をしている場合であればそれを盗み見る、といったものがある。そのため、昨今ではスマートフォンアプリを利用した2要素認証が安全とされている（SMSを使った2要素認証を不許可へ、NISTの新ガイダンス案）。

これを受けて、Redditは「SMSベースの認証は我々が望んでいたほど安全ではなかった」と述べている。

今年2月、産業技術総合研究所（産総研）に対する不正アクセスが発覚した（過去記事）。この事件に対する調査結果をまとめた報告書が、7月20日付けで公開されている。これをITmediaがまとめているのだが、これによると産総研への不正アクセスは複数の段階に分けて行われており、最初の不正アクセスは安易なパスワードを使っていたことが原因で行われたという。

最初に行われたのはメールシステムへの不正ログインで、これには安易なパスワードを設定していたアカウントが狙われ、パスワードが推測されてログインを許したそうだ。その後、このアカウントを使って職員のユーザーIDを入手し、続いてこのユーザーIDを使ってほかのシステムへのログインが試みられ、不正侵入を許すことになったそうだ。ただ、VPNに関してははワンタイムパスワードを使った2要素認証を使っていたために侵入されることはなかったという。そのため、ITmediaの記事では2要素認証がセキュリティ強化に重要だとしている。