Productos y Servicios PRODUCTOS Y SERVICIOS

Todo sobre el grave incidente de seguridad de Reddit

Reddit ha sufrido una importante filtración de datos pero parece que o no quiere o no puede dar detalles.

Hay dos partes en esta historia: a quien afecta y que vulnerabilidad ha sido utilizada en este incidente.

En relación con los usuarios, hay dos grupos en la línea de fuego, discutiblemente lo más importante es conocer el número de usuarios de Reddit que han recibido un email recopilatorio entre el 3 y 7 de junio de este año. Si eres uno de ellos, los atacantes conocen tu dirección de correo electrónico y tu nombre de usuario pero no tu contraseña, lo que supone preocupantes implicaciones.

El segundo grupo en peligro es cualquiera que se registrara entre 2005 (cuando se creó) y mayo de 2007.

En este caso, los datos a los que han accedido incluyen nombre de usuario, contraseña, correo electrónico utilizado en aquel momento y cualquier contenido publicado incluido cualquier mensaje privado o público.

Las contraseñas fueron salted y hashed, lo que parece reconfortarnos, hasta que te das cuenta que esto cubre una amplia variedad de posibilidades desde lo muy seguro a lo nada seguro.

Si el salting y hashing se realizó en miles de iteraciones por un algoritmo como bcrypt te puedes considerar seguro. Si simplemente significa que se utilizó un algoritmo como SHA-1, el tipo de algoritmo que, pese a estar obsoleto se utilizaba habitualmente en aquellas fechas, no puedes considerarte a salvo.

Desafortunadamente no sabemos cual se empleó.

Sea cual sea la situación, solo un pequeño grupo de usuarios que no actualizaron sus contraseñas desde entonces se verían afectados.

¿Qué ocurrió?

Según Reddit, el 19 de junio supo que entre el 14 y 18 de junio atacantes comprometieron un pequeño número de cuentas de sus empleados que utilizaron para acceder a sistemas de proveedores de alojamiento de código.

Estas cuentas usaban autenticación de doble factor basado en SMS que los atacantes fueron capaces de superar:

Hemos aprendido que la autenticación basada en SMS no es tan segura como creíamos y el ataque principal fue vía interceptar SMS.

El comunicado de Reddit es un buen ejemplo de lo importante que es leer las notificaciones de filtraciones cuidadosamente.

Primero, sabemos que la empresa conocía esta filtración desde hace más de un mes, durante ese tiempo no dijo nada, e incluso ahora no ha comunicado  cuantos usuarios se han visto afectados.

Esto es importante porque esos datos, pueden revelar mucha información sobre unos usuarios que confían en el anonimato cuando usan Reddit.

Como Troy Hunt tuiteó:

La pareja de nombre de usuario y correo electrónico puede ser la verdadera historia en esta ocasión, especialmente en casos cuando la gente publica con seudónimo esperando así mantener su privacidad. Piensa en los trolls sistémicos y anónimos que vimos ahí.

Lo siguiente es el hecho que la empresa parece decepcionada con la facilidad que los atacantes sobrepasaron el sistema de doble autenticación con SMS pese a que esta forma de autenticación tiene vulnerabilidades muy conocidas, incluido el fraude de cambio de SIM.

¿Qué hacer?

Reddit explica que es urgente el cambio de la contraseña de todos los usuarios afectados (y que ha enviado emails explicándolo). Dado que la empresa no es clara con el número de usuarios afectados, las filtraciones normalmente son peores de lo que parecen, y a que no tienes nada que perder, puedes cambiar tu contraseña como una medida de precaución.

También es una buena idea activar la autenticación de doble factor que Reddit activó en enero de este año.

Irónicamente, la empresa lo implementó después de que alguien accediera a las cuentas de moderador, una pena que no mejorara también su seguridad en ese momento.

Como ya hemos dicho, existe el riesgo de que las direcciones de correo y los nombres de usuario se filtren al dominio público (algo muy posible por lo que hemos visto en otros casos), por lo que todo el mundo podrá asociar los comentarios con emails.

Cualquiera que esté preocupado por este punto puede borrar algunos datos siguiendo estas instrucciones.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Dejar un comentario

Your email address will not be published. Required fields are marked *