Reddit 证实被黑，还有必要使用双因素认证机制吗？

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

刚刚，Reddit宣布遭受黑客攻击。该社交平台指出，一名或多名黑客绕过双因素认证之后攻陷了多名员工的账户，并窃取多种信息如某些邮件地址、日志以及包含老旧加盐和哈希密码的2007年数据库备份。

这起攻击活动发生在6月14日至18日期间。Reddit 表示在6月19日获悉此事，并表示黑客未获得对服务器的“写入权限”，“他们无法更改 Reddit 信息，我们在事件发生后已经采取措施锁定并更换所有的生产秘密和 API 密钥，并加强日志和监控系统的安全。”

黑客盗取老旧密码

Reddit 表示，黑客确实获得了“读取权限”，借此下载了一份源自2007年5月的老旧 Reddit 网站备份副本。

Reddit 表示该备份包含自2005年网站启动后至备份日期2007年5月期间活跃的用户的数据。Reddit 表示，“该备份中包含的最重要的数据是账户凭证（用户名和加盐的哈希密码）、邮件地址和所有内容（多数已公开，但也有私密信息）。”在2007年5月之后注册的用户或发布的信息和帖子被认为是安全的。

还窃取近期的用户名和邮件

Reddit 还表示，黑客下载了 Reddit 的邮件摘要 (email digest) 功能，更确切地说是在2018年6月3日至6月17日发送的邮件摘要。

Reddit 指出，“这些摘要将用户名连接至相关联的邮件地址并包含用户订阅的精选热门和“上班安心看”的 reddit 子版块推荐的帖子。”

Reddit 指出，会通过 Reddit 信息通知数据遭泄露的用户。仍然使用2007年密码的用户将收到修改提示。Reddit 还指出，黑客访问了公司的源代码、内部文件、配置文件和员工工作文件。

黑客绕过双因素认证

Reddit 认为黑客绕过双因素认证机制是数据遭泄露的原因。该公司指出，黑客针对某些员工发动短信拦截攻击，拦截访问员工账户所需的双因素认证码。

虽然 Reddit 并未明说，但这意味着黑客知道员工的账户密码，尽管这也是两步验证系统如双因素认证系统得以创建的原因。Reddit 表示已将基于短信的双因素认证机制转变为基于令牌的双因素认证机制，督促其它公司和用户也效仿这一做法。其它细节可参见 Reddit 网站发布的公告信息。

美国国家标准与技术研究所一直不建议使用基于短信的双因素认证机制，而学术界早在多年前就已经绕过这种机制；但最近几周，基于短信的双因素认证机制已被证明在现实中已被击溃。尽管存在这么多问题，相比不使用双因素认证，安全研究员仍然推荐使用基于短信的双因素认证机制。

https://www.bleepingcomputer.com/news/security/reddit-announces-security-breach-after-hackers-bypassed-staffs-2fa/