هک شدن Reddit به دلیل استفاده از احراز هویت با پیامک

شبکه اجتماعی ردیت (Reddit) از نقطه ضعف امنیتی خود در روش احراز هویت دوعاملی مبتنی بر پیامک مورد حمله هکرها قرار گرفت. امنیت این روش احراز هویت پیش‌تر توسط متخصصان موسسه‌ی ملی استاندارد و تکنولوژی ایالات متحده (NIST) رد شده بود.

شبکه اجتماعی ردیت (Reddit) در سال 2018 اعلام کرد که هکرها موفق به دور زدن سیستم احراز هویت مبتنی بر پیام کوتاه این شبکه شده‌اند و اطلاعات کاربران آن هک شده است.

” شبکه Reddit یک شبکه اجتماعی با بیش از 330 میلیون کاربر فعال در ماه، محلی برای برگزاری اجتماعات آنلاین است که کاربران آن با اشتراک‌گذاری داستان‌ها و موضوعات مختلف گفتگو؛ با هم در ارتباط هستند”

در این حمله چه اطلاعاتی در اختیار هکر قرار گرفت؟

یک هکر با نفوذ به چند سیستم‌، به اطلاعات جاری برخی کاربران نظیر آدرس‌های ایمیل و همچنین یک نسخه پشتیبان از پایگاه داده مربوط به سال 2007 شامل نام کاربری و گذرواژه‌های hash شده کاربران دسترسی پیدا کرده است.

هکر مذکور با دستیابی به سیستم‌های ذخیره‌سازی ردیت، توانست به اکانت برخی از کارمندان شبکه ردیت دسترسی پیدا کرده و در نتیجه برخی از کدها، لاگ‌های داخلی، فایل‌های پیکربندی و فایل‌های متعلق به کارمندان را به دست آورد. همچنین فایل‌های پشتیبان پایگاه داده مربوط به سال 2005 تا 2007 حاوی هویت‌نامه‌ها، ایمیل کاربران، نام کاربری متناظر با ایمیل کاربران در شبکه ردیت، و نیز اطلاعات مربوط به لاگ ایمیل‌ها از جمله اطلاعاتی بودند که هکر بدست آورد.

اگر چه این یک حمله جدی بود، ولی خوشبختانه هکر دسترسی نوشتن یا Write Access به سیستم‌های ردیت را پیدا نکرده و قادر به تغییر اطلاعات ردیت نبوده است. این شبکه از تمام کاربران خود خواست تا در اولین فرصت گذرواژه‌های خود را تغییر دهند.

احراز هویت مبتنی پیام‌کوتاه، دلیل هک شدن اطلاعات شبکه ردیت

Reddit اعتراف کرده است که احراز هویت مبتنی بر پیام کوتاه آنطور که انتظار می‌رفت امن نبوده و حمله اصلی به وسیله دسترسی به پیامک یکی از کارمندان انجام شده است. پیش‌تر نیز موسسه ملی استاندارد و تکنولوژی آمریکا خبر از احتمال ممنوع شدن احراز هویت دو عاملی مبتنی بر پیام‌کوتاه به دلیل مشکلات امنیتی این راهکار (مانند امکان مداخله یا هدایت کردن پیام توسط هکرها) داده بود.

مشکلات امنیتی احراز هویت مبتنی بر پیام کوتاه

یکی از شایع ترین حملات علیه سیستم پیامکی احراز هویت، برخی از بدافزارهای موبایلی هستند که برای ضبط یا ردیابی پیام‌های کوتاه مورد استفاده قرار می‌گیرند. این برنامه‌های مخرب عمدتا با هدف نفوذ به سیستم احراز هویت پیامکی که در برنامه‌های موبایل بانک استفاده می‌شوند، طراحی شده‌اند. علاوه بر این پیامک‌های موبایلی دارای آسیب‌ها و مشکلات امنیتی دیگری نیز هستند:

• تعویض سیم کارت یا SIM Swap (هکرها می‌توانند با جعل اطلاعات هویت؛ خود را جای دیگری معرفی کرده و با درخواست صدور مجدد سیم‌کارت به اطلاعات موبایل قربانی دسترسی پیدا کنند)
• دسترسی غیرمجاز  به SS7 (پروتکل سیگنال تلفنی)

“SS7 مجموعه‌ای از پروتکل ارتباطی است که فرایندهای مختلفی از جمله انتقال تماس، رومینگ و تبادل پیام‌های کوتاه در شبکه تلفن همراه و هدایت آنها به جای دیگر را برعهده دارد. این پروتکل دارای برخی مشکلات امنیتی است و مهاجمان از این مشکلات امنیتی برای بدست آوردن اطلاعات مشترکان یا پیام‌‌کوتاه‌ ومکالمات آنها استفاده می‌کنند”

هنگامی که در سال 2003 ردیت از پیام‌کوتاه برای احرازهویت دوعاملی استفاده کرد این روش بهترین روش احراز هویت در زمان خود بود. البته در رابطه با امنیت هر فن‌آوری، حقیقت این است که در طول زمان و به دلایل مختلف امنیت فن‌آوری کاهش پیدا می‌کند و لازم است در بررسی‌های سالانه تعدای از راهکارها برای جایگزینی و بررسی اثربخشی امنیت آن در نظر گرفته شود.

راهکار reddit برای امنیت حساب کاربران

پس از این اتفاق، از طرف ردیت برای تمام کاربران پیامی فرستاده شد و از آنها خواسته شد گذرواژه خود را تغییر داده و بروزرسانی کنند. ردیت همچنین اقدامات دیگری نیز برای ایمنی شبکه خود انجام داده است و استفاده از کلمات عبور قوی و منحصر به فرد و استفاده از احراز هویت مبتنی بر توکن را بجای سیستم پیامکی احراز هویت پیشنهاد داده است.

بد نیست با راهکارهای ساختن گذرواژه مناسب و نگهداری از آن آشنا شوید.