Reddit-hack toont beperkingen tweestapsverificatie via SMS

Reddit heeft woensdag bekendgemaakt dat hackers tussen 14 en 18 juni van dit jaar hebben rondgeneusd in de systemen van het onlineplatform. Ze maakten daarbij onder meer een back-up van de gebruikersdatabase uit 2007 buit.

De gestolen database bevat onder meer gebruikersnamen, versleutelde wachtwoorden (salted en hashed), e-mailadressen en alle content gerelateerd aan de accounts, waaronder ook privéberichten. Getroffen gebruikers werden per mail op de hoogte gebracht en geadviseerd om hun wachtwoord te veranderen als ze dat in de afgelopen jaren nog niet hebben gedaan.

Reddit benadrukt dat het om zeer oude gegevens gaat. De website – vandaag de zesde grootste ter wereld – was in 2007 nog maar twee jaar bezig en had op dat moment nog maar een beperkte gebruikersbasis.

2FA-verificatie

De aanvallers konden inbreken op de accounts van verschillende Reddit-medewerkers, ondanks dat hun accounts waren beschermd met tweestapsverififcatie (2FA) via SMS. Het lijkt erop dat een man-in-the-middle-aanval werd gebruikt on de SMS-codes te ontfutselen. Er is volgens Reddit geen indicatie dat de telefoons van de slachtoffers werden gehackt.

“We hebben geleerd dat SMS-gebaseerde authenticatie lang niet zo veilig is als we hadden gehoopt. De voornaamste aanvalsmethode was via het onderscheppen van SMS”, schrijft het Reddit-team in een verklaring. “We wijzen hierop om iedereen aan te moedigen om naar token-gebaseerde 2FA te gaan.”

Kritiek

Security-experts zijn kritisch op Reddit omdat het nog steeds SMS-gebaseerde 2FA-verificatie gebruikte om zijn accounts te beschermen. Het National Institute of Standards and Technology (NIST) van de Verenigde Staten zei twee jaar geleden al dat het geen betrouwbare beveiligingsmethode is, omdat de SMS-berichten eenvoudig onderschept kunnen worden.

De kritiek is dus enigzins terecht, maar Reddit is verre van de enige partij die nog altijd SMS-codes gebruikt. Heel wat onlinediensten en -platformen maken nog altijd gebruik van SMS om eenmalige codes te verzenden.

De consensus blijft dat tweestapsverificatie beter is dan uitsluitend een wachtwoord te gebruiken, maar verificatie via tijdelijke SMS-codes kan je beter vermijden. Het is veiliger om een app te gebruiken die codes genereert of, nog beter, een hardwaretoken. Google kwam recent nog in het nieuws omdat het phishing volledig heeft uitgeroeid in het bedrijf door al zijn werknemers van zo’n token te voorzien.