Atacul hackerilor care ne arată că internetul actual e foarte nesigur

Reddit a aflat pe 19 iunie și a dezvăluit astăzi că a fost victima unui atac cibernetic care a avut loc acum 11 ani, iar informațiile unor utilizatori au fost compromise.

În urma atacului, hackerii au obținut adresele de email și parolele unor utilizatori Reddit, pe care compania a promis să-i anunțe în legătură cu această breșă de securitate. Atacul nu pare unul foarte sever, dar demonstrează că autentificarea în doi pași nu este atât de sigură pe cât se credea.

Reprezentanții rețelei au zis că au decomerit că un hacker a obținut acces la conturile câtorva angajați Reddit și la baza de date a companiei care conținea parole și conturile utilizatorilor înregitrați până în mai 2007. Interesant este că deși aceste conturi erau protejate de un sistem de autentificare în doi pași (primirea unu SMS pentru confirmare), hackerii au reușit să evite al doilea factor de autentificare.

„În urma acestui atac am aflat că autentificare bazată pe SMS nu este atât de sigură pe cât speram. Menționăm asta pentru a încuraja oamenii să nu mai folosească un astfel de sistem”, se arată în postarea Reddit. Totuși, nu a fost menționat cum acele coduri SMS au fost furate, menționând că hackerii nu au atacat direct telefoanele angajaților.

Cum poate fi furat acest cod? În scenariul „swap SIM”, atacatorul se dă drept clientul operatorului telecom și convinge firma să-i dea acces la datele clientului pe un nou SIM, care este controlat de atacator. Schimbarea SIM-ului poate fi cerută de orice client atunci când SIM-ul actual nu mai funcționează sau când se trece la un nou telefon și este nevoie de un SIM de altă mărime.

O altă schemă este aceea în care hackerul se dă drept client și cere ca numărul de telefon să fie transferat la alt operator mobil. În ambele scheme, telefonul celui atacat nu mai funcționează, iar codurile SMS sau apeluri automate ajung la hackeri.

Alte metode de securizare a conturilor tale

O metodă de securizare mai eficientă este autentificare printr-o aplicație precum Google Authentification sau Authy. Aceste aplicații generează un cod unic care trebuie introdus, alături de parolă. Această metodă este mai sigură pentru că un hacker care vrea să te atace este nevoit fie să-ți fure telefonul, fie să ți-l infecteze cu un malware. Acestă metodă de autentificare elimină veriga slabă, operatorul de telefonie.

Nici această metodă nu este 100% sigură deoarece, chiar dacă primești acel cod unic pentru a-l introduce, pe lângă parolă, toate datele sunt introduse în aceeași interfață web care poate fi vulnerabilă la phishing sau la alte atacuri de tipul „man-in-the middle”.

Probabil cea mai sigură metodă este utilizarea unor chei de securitate. Aceste chei sunt stick-uri USB care trebuie introduse în dispozitiv. Google deja folosește un astfel de sistem, iar cheile de secuitate Titan sunt personalizate, precum o cheie de la mașină, și poate fi folosită de către utilizatorul căruia îi aparține. Singurul dezavantaj e că o poți pierde, dar, chiar dacă cineva o găsește, tot nu îți poate accesa datele. Sau, cel puțin, așa promit cei de la Google.

Un alt dezavantaj, care probabil se va rezolva în timp, este faptul că puține site-uri și platforme au disponibile asemenea sisteme de securitate. Poți folosi o asemenea cheie u Dropbox, Facebook, Github și câteva servicii Google.

Cel mai popular producător de astfel de chei este Yubico, iar modelul de bază se vinde cu 20 de dolari, iar modelele mai scumpe sunt făcute să funcționeze și cu telefoanele mobile. Printre platformele unde poți folosi cheiea Yubico se numără Google, Windows, Facebook, macOS, Twitter sau Linux. Este recomandat să ai două astfel de chei, în caz în care pierzi sau uiți una pe undeva.