Si tienes una cuenta en Reddit, es posible que hayas recibido un correo electrónico como este:
Según un responsable de Reddit, durante el intervalo de tiempo entre el 14 y el 18 de junio, varios servidores de la infraestructura de Reddit habrían sido atacados, con el resultado de la extracción de datos de usuarios, en concreto, direcciones de correo electrónico actuales y una copia de las credenciales de acceso que data del año 2007.
Respecto a las contraseñas, se trataría del grueso correspondiente al año 2007. Una copia de seguridad de los inicios del sitio. Además, y sorprende por la época, las credenciales no estaban guardadas en texto plano (hash + sal). Dado el transcurso de tiempo, es bastante improbable que las contraseñas que puedan extraerse de ahí sean útiles hoy día, aunque no es sorprendente ver cuentas cuyas contraseñas no han sido cambiadas en lustros.
Además, han sido extraídas listas de correos electrónicos de usuarios actuales, procedentes del sistemas de envío de resúmenes de noticias. Estas sí serían actuales, en concreto de todos los usuarios que tuvieran marcada dicha opción durante el día 3 y el 17 de junio. Repetimos: solo un listado de direcciones de correos electrónicos, nada de credenciales, en principio.
Eso en cuanto a los datos de usuario, pero llama la atención en el post que hace el responsable de Reddit, una anotación que puede pasar desapercibida:
Aunque el código fuente de Reddit siempre ha sido publicado con una licencia de fuente abierta, la compañía cerró el código fuente de la aplicación principal (aunque sigue publicando proyectos laterales y herramientas). Según el artículo publicado por el responsable de Reddit, el atacante habría tenido acceso a este código, recordemos, una versión muy distinta a la última versión libre publicada; ya que el sitio recibió un completo lavado de cara a inicios de este mismo año.
Centrándonos en el ataque en si, llama la atención un aspecto importante:
Aunque las cuentas de empleados que habrían sido hackeadas poseían doble factor de autenticación, este era un mensaje SMS y habría sido interceptado. Ojo, no estamos frente a un ataque oportunista contra servidores y mala configuración. Nos está desvelando una parte importante de como se desarrolló el plan del atacante: fue a por los empleados, y es más que probable que echara mano de ingeniería social o algo más complejo para hacerse con el código de los mensajes SMS enviados a los empleados.
En un comentario aparte, el mismo responsable, comenta que contrataron hace dos meses y medio a un jefe de seguridad. Lo que no deja de llamar la atención, que una compañía con un gran público en Internet, no lo tuviera ya desde hace años.
Como podemos ver, no solo se trata de construir una infraestructura segura. Un ataque centrado en las personas suele ser más fructífero que uno enfocado en la complejidad técnica. En este caso, ni tan siquiera un segundo factor de autenticación ha parado al atacante, quien de una forma u otra se hizo con los mensajes SMS. Es desde luego un ataque muy personalizado, del que sabemos poco pero podemos inferir mucho.
Según un responsable de Reddit, durante el intervalo de tiempo entre el 14 y el 18 de junio, varios servidores de la infraestructura de Reddit habrían sido atacados, con el resultado de la extracción de datos de usuarios, en concreto, direcciones de correo electrónico actuales y una copia de las credenciales de acceso que data del año 2007.
Respecto a las contraseñas, se trataría del grueso correspondiente al año 2007. Una copia de seguridad de los inicios del sitio. Además, y sorprende por la época, las credenciales no estaban guardadas en texto plano (hash + sal). Dado el transcurso de tiempo, es bastante improbable que las contraseñas que puedan extraerse de ahí sean útiles hoy día, aunque no es sorprendente ver cuentas cuyas contraseñas no han sido cambiadas en lustros.
Además, han sido extraídas listas de correos electrónicos de usuarios actuales, procedentes del sistemas de envío de resúmenes de noticias. Estas sí serían actuales, en concreto de todos los usuarios que tuvieran marcada dicha opción durante el día 3 y el 17 de junio. Repetimos: solo un listado de direcciones de correos electrónicos, nada de credenciales, en principio.
Eso en cuanto a los datos de usuario, pero llama la atención en el post que hace el responsable de Reddit, una anotación que puede pasar desapercibida:
As the attacker had read access to our storage systems, other data was accessed such as Reddit source code, internal logs, configuration files and other employee workspace files, but these two areas are the most significant categories of user data.Es decir, que la filtración de datos de usuario, que no es precisamente un botín rebosante de maravedies, solo es una pizca de lo acontecido; aunque sí es lo que determina las posibles sanciones administrativas. El código fuente del Reddit actual, privativo, podría estar durmiendo en el disco duro de su asaltante.
Aunque el código fuente de Reddit siempre ha sido publicado con una licencia de fuente abierta, la compañía cerró el código fuente de la aplicación principal (aunque sigue publicando proyectos laterales y herramientas). Según el artículo publicado por el responsable de Reddit, el atacante habría tenido acceso a este código, recordemos, una versión muy distinta a la última versión libre publicada; ya que el sitio recibió un completo lavado de cara a inicios de este mismo año.
Centrándonos en el ataque en si, llama la atención un aspecto importante:
we learned that SMS-based authentication is not nearly as secure as we would hope, and the main attack was via SMS intercept. We point this out to encourage everyone here to move to token-based 2FA.
Aunque las cuentas de empleados que habrían sido hackeadas poseían doble factor de autenticación, este era un mensaje SMS y habría sido interceptado. Ojo, no estamos frente a un ataque oportunista contra servidores y mala configuración. Nos está desvelando una parte importante de como se desarrolló el plan del atacante: fue a por los empleados, y es más que probable que echara mano de ingeniería social o algo más complejo para hacerse con el código de los mensajes SMS enviados a los empleados.
En un comentario aparte, el mismo responsable, comenta que contrataron hace dos meses y medio a un jefe de seguridad. Lo que no deja de llamar la atención, que una compañía con un gran público en Internet, no lo tuviera ya desde hace años.
Como podemos ver, no solo se trata de construir una infraestructura segura. Un ataque centrado en las personas suele ser más fructífero que uno enfocado en la complejidad técnica. En este caso, ni tan siquiera un segundo factor de autenticación ha parado al atacante, quien de una forma u otra se hizo con los mensajes SMS. Es desde luego un ataque muy personalizado, del que sabemos poco pero podemos inferir mucho.
Más información:
We had a security incident. Here's what you need to know.
https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/
https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/
