パスワードを忘れた? アカウント作成
13667977 story
セキュリティ

Reddit従業員のアカウントが奪取されデータ漏えい。SMSを使った2要素認証が突破される 13

ストーリー by hylom
認証での電話番号の利用は危険 部門より
あるAnonymous Coward曰く、

Redditがサイバー攻撃を受け、利用者データなどについて第三者が閲覧できる状態になっていた明らかにした。このデータにはメールアドレスやハッシュ化されたパスワードが含まれているという。

Redditによると、6月19日に同社従業員の複数のアカウントが攻撃者に奪取されたことが発覚したという。攻撃を受けたのは6月14日から18日の間で、このアカウントには同社が利用しているクラウドやソースコード管理システムへにアクセスするためのものも含まれていた。

同社はコードやシステムインフラにアクセスするための認証時に2要素認証を導入しており、ユーザー名やパスワードによる認証に加えて、SMS経由での認証も必要になっていた。しかし、「SMS intercept」という手法を使ってこの2要素認証も突破されてしまったそうだ。

奪取されたのはリードオンリーの権限だったため、Redditのシステムが改ざん・破壊されるといった被害はなかったものの、攻撃者はRedditの2007年以降のすべてのデータにアクセス可能であり、これによってアカウント情報やメールアドレス、2018年にRedditからユーザーに送信されたメールの内容が盗まれた可能性があるという。

昨今ではセキュリティの強化を目的として2要素認証の利用が推奨されているが、SMSを利用した2要素認証(SMSでワンタイムパスワード的な認証コードを送信し、その入力を求める)方法については、以前より危険性が指摘されていた(The Verge)。具体的な手法としては、SMSの情報を不正に書き換える「SIM swapping」というものや(過去記事)、SMS受信時に本文を含んだ通知を表示するような設定をしている場合であればそれを盗み見る、といったものがある。そのため、昨今ではスマートフォンアプリを利用した2要素認証が安全とされている(SMSを使った2要素認証を不許可へ、NISTの新ガイダンス案)。

これを受けて、Redditは「SMSベースの認証は我々が望んでいたほど安全ではなかった」と述べている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
    • by Anonymous Coward

      Googleでも昔は乗っ取られてたのか

      • by Anonymous Coward

        「ゼロになりました」というところが、「これまでいったいどんだけ盗まれてたんだよ」と聞きたくなるな。

  • 案外反トランプ派のユーザだったりするかもね

  • by Anonymous Coward on 2018年08月03日 18時55分 (#3454896)

    SMS送信先が別ルートで書き換えられていた
    SMSのシステムに侵入されていたか、設定が変更された
    SMSの通信経路のどこかが傍受可能
    SMSメッセージを受け取るスマホが既にやられている
    あとは…

    • by Anonymous Coward

      キャリアに本人を偽って電話してSIMから他のSIMに番号を移してもらうというソーシャルハッキングが多いみたいだからそれじゃないのかな
      ただし日本だとSIMの再発行になるから出来ないけどね

      • > ただし日本だとSIMの再発行になるから出来ないけどね

        SIMは再発行になるけど、電話番号は同じなので、同じ電話番号宛てのSMSは受け取れます。

        日本でも例えばdocomoは「ケータイ補償お届けサービス」というのがあって、携帯電話を紛失したとき(SIMも同時に紛失)には
        任意の住所に電話1本で再発行したSIMとリサイクル品の携帯電話機を届けてくれる サービスがあります。
        本人確認は氏名や契約電話番号聞かれて4桁の暗証番号を打ち込む程度です。暗証番号を何らかの方法、例えばキャリアのサイトのフィッシング詐欺サイトなどで入手していたら悪用できます。

        それか窓口なら運転免許証や住基カード等を見せれば暗証番号無くてOKなので、偽造したり盗んだりした証明書で悪用することもできるし、
        店員を買収したり悪意のある店員とぐるになっている探偵会社に頼むという手もあります。

        SIMの再発行のプロセスは不正に弱いです。

        • by Anonymous Coward

          へー、日本では暗証番号か運転免許証、住基カードが盗まれないといけないほど危険なんだ。

          • by Anonymous Coward

            日本語読めてる?

            > 店員を買収したり悪意のある店員とぐるになっている探偵会社に頼むという手もあります。

            日本は安全だと信じたい人なのかな。
            駝鳥的解決策って奴ですね。

            • by Anonymous Coward

              危険だよね。
              店員を買収したり探偵会社に頼んだりしたりしたら、いろんなことができるもんね。
              そこにsimカードの経路が追加されるけど、もともといろんなことができるもんね。

  • by Anonymous Coward on 2018年08月03日 19時14分 (#3454920)

    昨今ではスマートフォンアプリを利用した2要素認証が安全とされている

    これも、pishingされてるときに使ってしまったら、アウトだよね。

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...