Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Włamanie na serwery Reddita – 2FA nie pomogło – przechwycili SMS-y
Zerknijcie na rozgrzany do czerwoności wątek na Reddicie o włamaniu na Reddita.
Atakujący otrzymali dostęp read-only do bazy danych (choć mocno ograniczony – wspomniana jest informacja o niektórych mailach), kodu źródłowego, logów oraz „pewnych plików” należących do pracowników Reddita. Potwierdzono też dostęp do starego, pełnego backupu bazy danych (z 2007 roku). Zacytujmy dłuższy fragment:
On June 19, we learned that between June 14 and June 18, an attacker compromised a few of our employees’ accounts with our cloud and source code hosting providers. Already having our primary access points for code and infrastructure behind strong authentication requiring two factor authentication (2FA), we learned that SMS-based authentication is not nearly as secure as we would hope, and the main attack was via SMS intercept. We point this out to encourage everyone here to move to token-based 2FA.
Powtórzmy:
we learned that SMS-based authentication is not nearly as secure as we would hope, and the main attack was via SMS intercept.
Czyżby należało w przyspieszonym trybie rezygnować SMS-ów jako drugiego czynnika uwierzytelniającego?
–ms
Czyżby należało w przyspieszonym trybie rezygnować SMS-ów jako drugiego czynnika uwierzytelniającego?” – Po co skoro wystarczy stara nokia i dodatkowy numer służące tylko do przyjmowania SMS-ów autoryzacyjnych.
A choćby po to, że i stara Nokia nie pomoże jeśli ktoś wyrobi sobie duplikat Twojej karty SIM.
Naprawdę? Wyrobi sobie numer? A skąd go ma niby mieć? Poza tym wyrabiałeś kiedyś sobie duplikat karty czy tylko gdzieś o tym czytałeś? Czytałeś, to wyrób sobie kartę i w praktyce sprawdź czy jest to takie łatwe, ignorancie.
Jest to łatwe, ominęło Cię parę artykułów na ten temat…?
Wyluzuj czlowieku, wez gleboki oddech i poczytaj – to sie dzieje i wcale nie jest takie skomplikowane:
https://niebezpiecznik.pl/post/duplikat-karty-sim-kradziez-bank-mbank-bzwbk/
A to niby czegoś dowodzi? U jednego operatora wystąpił problem i według ciebie występuje u wszystkich operatorów. Powtarzam idź i wyrób sobie duplikat, a nie linkujesz mi do jakiś artykułów.
John, Twój nerwowy komentarz przeczy danym obserwacyjnym ;)
https://motherboard.vice.com/en_us/article/vbqax3/hackers-sim-swapping-steal-phone-numbers-instagram-bitcoin
Zatrudnij tłumacza z angielskiego albo kogoś, kto ci to kredkami rozrysuje.
Poddaje sie – dla tych co chcac sie czegos dodwiedziec – powyzszy link prowadzi do artykulu, gdzie wektor ataku jest rozny od zainfekowania smarfon malware i przejecia przychodzych SMS. Dowodzi, ze istnieja inne wektory ataku niz zainfekowanie smartfona, celem przechwycenia przychodzaych SMS.
Stara nokia przenaczona tylko do odbierania SMS-ow autoryzujacych przelew, nie bedzie rozwiazaniem problemu.
Stara nokia działa w 2G, co ją od startu dyskwalifikuje.
Zostawcie Pana @John Sharkrat, to że jest ignorantem nie znaczy że trzeba mu na siłę podawać linki.
Jeżeli nie chce wiedzieć, bo tak łatwiej się żyje, zostawmy go, dzięki takim osobom bezpieczniki mają prace, agresor ma wektor ataku (profity). Ekosystem musi pracować wydajnie :)
Nie wystarczy. Jak u operatora ktoś przejmie kartę SIM nic nie zrobisz. A to się zdarza – patrz inne wpisy na ten temat na portalu. U Samcika też to pisali – tzn w Polsce zdarzają się wrogie przejęcia