Hacker kreeg toegang tot Reddit-database uit 2007 en recente mails met usernames

Reddit maakt melding van iemand die toegang kreeg tot een elf jaar oude databaseback-up met gebruikersnamen, salted & hashed wachtwoorden, mailadressen en posts en pm's. Daarnaast zijn ook recentere e-mailadressen in combinatie met gebruikersnamen uitgelekt.

De bekendmaking staat op het moment van schrijven bovenaan de voorpagina van de populaire online gemeenschap. Gebruikers die in de oude back-up voorkomen waarvan het wachtwoord misschien nog hetzelfde is, krijgen een bericht en een automatische wachtwoordreset. Hoe sterk de versleuteling op die wachtwoorden is, wordt niet gemeld.

Naast de oudere back-up had de aanvaller ook toegang tot logboeken van e-mail-digests de dato 3 juni tot 17 juni van dit jaar. In die logboeken staan niet alleen de gemailde sfw-postoverzichten zelf, maar ook de mailadressen waar ze naar verstuurd zijn en de geassocieerde gebruikersnaam. Gebruikers die dus geen e-mailadres hebben opgegeven in hun Reddit-profiel, of die van 3 tot 17 juni niet geabonneerd waren op de digests, vallen hier dus buiten schot.

Reddit benadrukt dat gebruikers van wie de digests zijn gelekt, moeten nagaan of ze posts hebben gemaakt waarbij ze als auteur liever anoniem zouden willen blijven. De site heeft een hulppagina met instructies voor het verwijderen van deze openbare data, indien gewenst.

De aanvaller verkreeg de gebruikersdata toen hij toegang kreeg tot de accounts van verschillende Reddit-medewerkers bij de cloud- en sourcecode-hosters van de site. Die waren met tweetrapsauthenticatie beveiligd, maar de aanvaller heeft vermoedelijk de verificatie-sms onderschept. Hij of zij heeft alleen read-only-toegang gekregen. De hack heeft ergens tussen 14 en 18 juni plaatsgevonden en kwam intern aan het licht op 19 juni. Reddit zegt de aanval bij de autoriteiten te hebben gemeld.

Lees meer

Reacties (43)

Xieoxer
1 augustus 2018 20:52

Nu in het een kwestie van tijd dat de database te koop word aangeboden. Vervolgens word dit pakketje meerdere keren verspreid en verkocht. Het beste is dat Reddit de database waar over het gaat aanlevert aan HaveIBeenPwned (https://haveibeenpwned.com). Dan zijn mensen nog beter op te hoogte van de situatie en heeft het voor hackers minder zin om de database nog verder te verspreiden.

[Reactie gewijzigd door Xieoxer op 1 augustus 2018 20:54]

JapyDooge

@Xieoxer • 1 augustus 2018 20:56

Het lastige hier is dat in veel gevallen er geen e-mail adressen aan accounts hangen (niet verplicht voor een Reddit account) en dat er (gelukkig) enkel salted en hashed wachtwoorden verkregen zijn.

Dat maakt het checken door HaveIBeenPwned al een stuk lastiger, maar waar mogelijk absoluut een goed idee.

MrFax
@JapyDooge • 1 augustus 2018 21:10

Van accounts uit 2007, want er zijn geen recente wachtwoorden gelekt, de wachtwoorden zijn na 11 jaar best wel useless. Ik denk dat de wachtwoorden salted md5 is omdat het al 11 jaar oud is, is nu aardig makkelijk te kraken. Maar wie wijzigt zijn of haar wachtwoord niet na 11 jaar?

[Reactie gewijzigd door MrFax op 1 augustus 2018 21:11]

Creesch

@MrFax • 1 augustus 2018 22:27

salted md5

Of md5 nu wel of niet gesalt is maakt niet zoveel uit. Meer to the point, ik heb eens in de laatste open source code zitten neuzen van reddit en in 2011 is men overgestapt op bcrypt. Als ik het daar goed zie maakten ze daarvoor gebruik van SHA, wat in gesalte vorm nog iets beter uit de bus komt dan md5. (Overigens is SHA-1 nu nog inzetten niet aan te raden aangezien er ondertussen wel kwetsbaarheden bekend zijn)

[Reactie gewijzigd door Creesch op 1 augustus 2018 22:31]

Miasma

@Creesch • 1 augustus 2018 23:37

Sorry misschien een beetje een domme noob vraag maar wat houd dat 'salten' precies in?

Gropah
@Miasma • 2 augustus 2018 00:32

Hashes zijn representaties van wachtwoorden. Een zelfde invoer geeft een zelfde uitvoer, maar het is niet zo dat elke uitvoer uniek is, want hashes zijn als bij de meeste verschillende implementaties altijd even lang. Het is dus niet mogelijk om die uniek te krijgen.

Omdat dezelfde invoer altijd dezelfde uitvoer heeft, betekend dus dat mensen met veel gebruikte wachtwoorden ook altijd dezelfde hashes zouden hebben in de database. Deze zijn dus het interessants om te kraken (want meeste gebruikers) en ook makkelijker door gebruik te maken van statistiek over meest voorkomende wachtwoorden.

Om dit te voorkomen word voor elke user een uniek combinatie van characters gegenereerd en toegevoegd aan het wachtwoord, dit is het salten. Hierdoor hebben 2 users die hetzelfde wachtwoord hebben niet meer dezelfde hash en is het dus niet makkelijk om meerdere users te kraken door de hash van 1 wachtwoord te bepalen.

[Reactie gewijzigd door Gropah op 2 augustus 2018 00:33]

Mees van Dongen
@Miasma • 2 augustus 2018 00:05

Bij 'salting', oftewel zouten, wordt willekeurige data toegevoegd aan een hashfunctie. Alsof het 'gezouten' wordt, vandaar de term. Het resultaat van de versleuteling van deze combinatie wordt opgeslagen.

Om later de data te kunnen verifiëren is het wel noodzakelijk om dit salt (indien opnieuw gegenereerd bij elk wachtwoord) in de database op te slaan naast het resultaat van de hash van de data plus het salt.

https://nl.wikipedia.org/wiki/Salt_(cryptografie)

Loggedinasroot
@MrFax • 1 augustus 2018 21:22

Ik gok op 50% van de internetters.

Arunia
@Loggedinasroot • 1 augustus 2018 22:06

Ik denk dat dat percentage nog veel lager ligt.

Reddit kan iig aan de accounts een bericht hangen dat ze hun wachtwoord moeten wijzigen. Dat zodra diegene inlogt, dit ook te zien krijgt.
Wat dus al gebeurd.

[Reactie gewijzigd door Arunia op 1 augustus 2018 22:06]

!nFerNo
@MrFax • 1 augustus 2018 21:20

Genoeg mensen die ik ken.

ythehunter
@MrFax • 1 augustus 2018 21:48

Ik ken heel veel mensen die ooit hun eerste hotmail emailadres hebben gemaakt en daarna nooit meer dat ww hebben gewijzigd

ViperXL
@MrFax • 2 augustus 2018 11:00

Ik denk dat aardig wat wachtwoorden zijn gewijzigd in die 11 jaar aangezien er genoeg diensten zijn gehacked en een wachtwoord reset hebben uitgevoerd

JapyDooge

1 augustus 2018 20:54

Die waren met tweetrapsauthenticatie beveiligd, maar de aanvaller heeft vermoedelijk de verificatie-sms onderschept.

Zoals dus duidelijk (niet 'vermoedelijk') in het oorspronkelijke bericht aangegeven:

Already having our primary access points for code and infrastructure behind strong authentication requiring two factor authentication (2FA), we learned that SMS-based authentication is not nearly as secure as we would hope, and the main attack was via SMS intercept. We point this out to encourage everyone here to move to token-based 2FA.

De gestolen oude database was overigens van mei 2007.

Auteur

Mark_88
@JapyDooge • 1 augustus 2018 21:01

Klopt, maar later schrijven ze...

...we suspect weaknesses inherent to SMS-based 2FA to be the root cause of this incident.

mmjjb
@Mark_88 • 2 augustus 2018 03:23

and the main attack was via SMS intercept.

De vraag is, hoe is het mogelijk dat, ervan uitgaande dat het geen overheid is.. hoe is het ooit mogelijk dat iemand de SMS 2FA tokens heeft onderschept?

Vind het erg bijzonder

[Reactie gewijzigd door mmjjb op 2 augustus 2018 03:27]

kaas-schaaf
@mmjjb • 2 augustus 2018 07:54

Met de juiste 2g ontvanger kan je al het sms verkeer afvangen van de mast waar je naar connect.

Wat waarschijnlijker is, is dat de attacker een hack heeft gedaan bij de sms verstuurder. Dit zijn meestal vrij low cost operaties en staan niet bekend om hun uitmuntende security.

Wilke
@mmjjb • 2 augustus 2018 08:52

Dat is echt heel erg oud nieuws en op allerlei mainstream newssites over te lezen, bv.: https://www.theverge.com/...ion-hack-password-bitcoin
of google "intercepting sms femtocell", bv.: https://securitywatch.pcm...ng-phones-with-femtocells

Het is niet eens zo dat je per se op dezelfde cell tower moet zitten: als je de identificerende info van de telefoon eenmaal hebt (ik neem aan dat het daarbij om IMEI gaat) kun je telefoons clonen en dus om het even waar ter wereld de clone de SMS (ook) laten ontvangen.

Basically zijn de mobiele netwerken dus niet zo goed beveiligd als je zou hopen.

[Reactie gewijzigd door Wilke op 2 augustus 2018 09:01]

pietersr
@Wilke • 2 augustus 2018 12:10

Als ik het goed heb wordt de SMS naar slechts één punt gestuurd. In dit geval wil je dat ook natuurlijk zodat de mensen niet de inlog-SMS zelf ook ontvangen.

mmjjb
@Wilke • 2 augustus 2018 17:46

Ik weet dat mobiele netwerken niet goed beveiligd zijn.

Echter bij de eerste methode zal de 'hacker' het IMEI nummer van de telefoon moeten weten.. lijkt me niet dat je daar achterkomt zonder een nep tower / femtocell op te zetten.

Daarom ben ik nog steeds verbaasd hoe de hack is gebeurd:

Nep tower opzetten
In de buurt van je telefoon moeten zijn..
SMS berichten onderscheppen
Persoon / telefoonnummer identificeren

Er vanuit gaande dat je dat doet en dat ik daarna je persoonsgegevens weet..
-Weet ik nog steeds niet je gebruikersnaam & wachtwoord

Een goede 2FA provider a 2018 zal nooit wachtwoord reset toelaten op basis van alleen je naam / telefoonnummer en een 2fa token.. je zal toch echt ook een e-mail moeten ontvangen of op z'n minst de gebruikersnaam moeten weten..

In andere woorden.. het lijkt me onmogelijk dat je zo'n hack uitvoert zonder dat je specifiek iemand target.. in de gaten houd.. en naar zijn/haar huis/kantoor gaat om met je nep tower de boel te onderscheppen.. etc..

Voor een simpele hacker is dit te veel moeite...

[Reactie gewijzigd door mmjjb op 2 augustus 2018 17:47]

194673
@Mark_88 • 1 augustus 2018 22:50

Ik ben wel benieuwd hoe ze tot die conclusie zijn gekomen. Lijkt me een hoop moeite voor een oude database als deze. Als je de 2FA smsjes gaat onderscheppen dan zoek je toch wel iets wat meer waard is dan een 11 jaar oude database? Als ik het zo lees dan gok ik dat ze gewoon gephished zijn via iets als Evilginx2

burne
@194673 • 2 augustus 2018 00:46

.. Als je de 2FA smsjes gaat onderscheppen dan zoek je toch wel iets wat meer waard is dan een 11 jaar oude database? ..

Je weet natuurlijk van tevoren wat je gaat vinden. Je bent niet voor niets superhacker. Niemand gaat z'n tijd verdoen aan een systeem wat 11-year-old-backups.reddit.com heet.

194673
@burne • 2 augustus 2018 13:23

Als je de moeite neemt om beheer accounts te onderscheppen en dan vervolgens ook nog telefoons te hacken om 2FA smsjes te onderscheppen, ja, dan moet je inderdaad wel wat meer op het oog hebben gehad dan wat in dit bericht naar voren komt.

De lek uit dit bericht doet meer vermoeden dat het een toevalstreffer is, en niet zo zeer een gerichte actie.

burne
@194673 • 2 augustus 2018 18:06

Misschien dat het sarcasme niet duidelijk genoeg was. Ik denk dat reddit hun zaakjes behoorlijk op orde heeft, maar dat ze misschien wat sneller oude bestanden op moeten ruimen of ze beter (bewuster) beveiligen..

Slonzo
1 augustus 2018 20:58

Waarom hebben ze zo lang gewacht om dit publiek te maken? Grote kans dat er toen nog gehashed werd met MD5 of SHA1. Op 6 weken kan een aanvaller (of een eventuele koper) veel schade aanrichten met de buitgemaakte accountgegevens...

Auteur

Mark_88
@Slonzo • 1 augustus 2018 21:05

Ze zeggen zelf dat ze intussen bezig waren met het onderzoek, en pas vanaf dit moment genoeg info hadden om duidelijk te melden wat er precies is gebeurd. Een snelle aankondiging met 'we zijn gehackt maar we weten nog niet van de hoed en de rand!' is natuurlijk vragen om schadelijke speculatie alom.

En als je nog steeds te pakken bent op een 11 jaar oud wachtwoord, dan krijg je op zich ook waar je om vraagt, imho.

kodak

Networking en security
Datalek
Hack

@Mark_88 • 1 augustus 2018 23:25

Een onderzoek van 1,5 maanden zonder tussenresultaten lijkt me toch niet realistisch @Mark_88. Niet omdat het niet zo lang hoefde te duren maar het lijkt me sterk dat dat pas na 1,5 maand duidelijk was dat er gegevens van gebruikers gelekt waren. En we hebben het hier niet alleen over (oude) credentials maar ook over e-mailadressen die bij gebruikersnamen horen en al dan niet persoonlijke posts. Waardoor anonimiteit en privacy een flink risico lopen. Misschien is dat voor jou niet zo relevant, maar hier in Europa hebben we niet voor niets nu strenge regels over het melden van datalekken. Gebruikers leggen vertrouwen in een dienstverlener en die heeft dus niet alleen rekening te houden met de eigen belangen zoals een zo klein mogelijke deuk in de reputatie.

Het lijkt me een mooie taak voor techjournalisten om Reddit eens goed aan de tand te voelen over het onderzoek en of het echt zo lang moest duren. Ze zijn de drie na grootste site in de USA en dat je dan reputatieschade bij een lek kan oplopen is evident. Het gaat er dan om hoe je het brengt. In plaats van zelf aanname te doen dat het Reddit om het voorkomen van reputatieschade ging wil ik dat eigenlijk liever van hun horen welke afwegingen ze gemaakt hebben en wanneer ze wat wisten. Want als ze al eerder wisten dat er gegevens van Europese gebruikers gelekt waren dan kunnen ze een flink probleem hebben om uit te leggen dat ze bijvoorbeeld liever eerste het totaalbeeld wilde weten.

[Reactie gewijzigd door kodak op 1 augustus 2018 23:29]

WittiW
@Mark_88 • 1 augustus 2018 21:14

Wat een onzin, deze opmerking. Schuld bij de gebruiker neerleggen. Tja

Auteur

Mark_88
@WittiW • 1 augustus 2018 21:17

Mag je vinden. Ik vind het nalatigheid.

WittiW
@Mark_88 • 1 augustus 2018 21:21

Werkelijk? Je verwacht ook van jezelf dat je elke registratie blijft bewaken!?

/mark ut Almelo

[Reactie gewijzigd door WittiW op 1 augustus 2018 21:31]

JapyDooge

@djmuggs • 1 augustus 2018 22:05

Ik vermoed dat de auteur gewoon recht heeft op een eigen mening, net als ieder ander

Inhoudelijk ben ik het ook wel met Mark eens, als je na 11 jaar nog hetzelfde wachtwoord gebruikt en dit eventueel ook gebruikt voor meerdere diensten, dan ben je gewoon erg fout bezig.

mikeoke
@JapyDooge • 1 augustus 2018 22:58

natuurlijk veranderd iedereen zijn wachtwoord, dat is toch logisch en word ook verlangt. NOT
Ik heb 1 januari nog mijn wachtwoord veranderd in: naamvankind2018

Tot op heden zijn er alleen de banken die willen dat je elk jaar je wachtwoord wijzigd maar bij een gemiddeld forum account heb ik dit nog niet gezien, en dan heb ik het nog niet over gebruik van ssl op de inlog website. Maar ik heb ook geen probleem om dit elke maand te veranderen.
naamvankind0618
naamvankind0718

Nu ken ik persoonlijk weinig websites die in 2007 al gebruik maakte van salted wachtwoorden voor de inlog en Reddit is pas "ontstaan" in 2005

De beste beveiliging (nog steeds) op dit moment (sinds 2007) is een YubiKey maar dit is natuurlkijk wel afhankelijk of de website dit ondersteund.

JapyDooge

@Slonzo • 1 augustus 2018 21:02

Ten eerste is het gros van de data ruim 11 jaar oud, en ik weet niet waar je de 6 weken vandaan haalt.

De ontdekking is gedaan op 18 juli, en vanaf die dag is er onderzoek geweest. Dat is minder dan twee weken geleden. Ja het is niet top maar ook niet verschrikkelijk.

Daarnaast was er sprake van een salt, geen kale wachtwoorden in de hash.

[Reactie gewijzigd door JapyDooge op 1 augustus 2018 22:04]

Auteur

Mark_88
@JapyDooge • 1 augustus 2018 21:08

Juni, niet juli, vandaar.

JapyDooge

@Mark_88 • 1 augustus 2018 22:04

Correct! My bad!

PostHEX
1 augustus 2018 22:04

Dit in tegenstelling tot een recent statement van Google:

Google has not had any of its 85,000+ employees successfully phished on their work-related accounts since early 2017, when it began requiring all employees to use physical Security Keys in place of passwords and one-time codes, the company told KrebsOnSecurity.

Bron en de rest van artikel: https://krebsonsecurity.c...alized-employee-phishing/

Schandalig dat Reddit nog steeds intern SMS verificatie gebruikt. Reddit heeft niet eenzelfde grote budget als Google voor security, maar kom op: U2F keys kosten nog geen 18$ per werknemer, en de kosten voor het implementeren zal evenmin een probleem horen te zijn (als password manager Bitwarden U2F ondersteunt, terwijl er letterlijk maar 1 dev achter zit, moet de implementatie kosten voor Reddit geen obstakel zijn).

Edit: het schijnt dat Reddit dus een third party hosting providers gebruikt. Ik ben nieuwsgierig hoeveel invloed Reddit zou hebben op de security van de hosting providers. Als de oorzaak van Reddits probleem bij hun providers dan zou liggen, en ze geen bepaald niveau van security kunnen afdwingen, dan ben ik benieuwd of ze gaan verhuizen.

[Reactie gewijzigd door PostHEX op 1 augustus 2018 22:14]

burne
@PostHEX • 2 augustus 2018 00:51

Dit in tegenstelling tot een recent statement van Google:

Google heeft meer dan vijfentachtig duizend personeelsleden, Reddit heeft er 613.

Zou dat uit kunnen maken?

PostHEX
@burne • 2 augustus 2018 01:25

Waar wil je heen? Uitmaken in welke zin?

burne
@PostHEX • 2 augustus 2018 01:48

Waar wil je heen? Uitmaken in welke zin?

Reddit heeft niet eenzelfde grote budget als Google voor security, maar [..]

Als Google een dollar per personeelslid per jaar apart zet voor een 2fa-specialist heeft 'ie een topinkomen. Als reddit diezelfde dollar per personeelslid per jaar apart zet sterft 'ie na twee maanden de hongerdood.

Uitmaken in die zin. Bijvoorbeeld.

PostHEX
@burne • 2 augustus 2018 02:35

Beetje raar dat volgens jou een dev betaald moet krijgen op basis van hoeveel personeel er werkt, vind je niet? Meestal krijgt een dev betaald op basis van de waarde van een bedrijf, of hoe waardevol zijn functie is. In dit geval gaat U2F implementeren niet over het beschermen van het personeel, maar over het beschermen van de data van ruim 230 miljoen gebruikers. Immers wil je niet dat je door slechte beveiliging jouw personeel je hele klantendatabasis lekt, en je klanten bij jouw dienst weglopen. Immers als klanten bij je weglopen, en het er genoeg zijn, dan kon je net zo goed voor dat gemiste inkomen die security dev betalen. Als je als #6 in de ranglijst staat van meest bezochte sites en niet eens die ene dev kan betalen, dan moet je maar net zoals Wikipedia een donatie ronde starten, of een beter verdienmodel bedenken, i.p.v. varen met een lekke boot.

burne
@PostHEX • 2 augustus 2018 08:44