Reddit 被駭的教訓,告訴你手機 OTP 未必安全

作者 | 發布日期 2018 年 08 月 02 日 16:08 | 分類 資訊安全 follow us in feedly

有鄉民入口網站之稱的美國網站 Reddit,驚傳被駭。駭客在 6 月時侵入,取得舊的備份資料,包含使用者密碼資訊。Reddit 官方呼籲使用者盡快更改密碼,並啟用二階段認證。




Reddit 官方發布公告,駭客透過侵入工作人員的帳號,在 6 月 14 日至 6 月 18 日之間入侵,取得 2005 到 2007 年 5 月之間舊的備份資料,除了使用者名稱和郵件信箱、公開的貼文內容和私訊,還包含 salt 和 hash 處理過的密碼資訊。儘管 Reddit 員工已經啟用二階段認證,但透過手機 SMS 傳送 OTP 一次性密碼,仍然被攔截。

Reddit 還說他們的 2018 年 6 月的 Reddit 文摘也被駭,但如果 email 帳號沒有與 Reddit 帳號有關連的話就不必擔心。另外 Reddit 內部的網站程式碼,內部 log、設定檔和員工工作檔案被駭進去。

由於 Reddit 使用者眾多,談論話題多元,也是美國人評論時政的地方,會被千方百計想辦法入侵並不意外。駭客可能假冒身份,跑去電信商申請服務,進而取得被害人的 SMS 資訊。

一般用戶用手機接收一次性 OTP 可能就足以防範入侵,但對於 Reddit 這類大站來說,管理人員採用手機 OTP 防護略有不足,如果採用軟體 App 的 OTP 方案,或者是實體 USB 密鑰,讓駭客入侵成本更高了。

(首圖來源:Reddit)

關鍵字: ,