L’authentification à deux facteurs SMS de Reddit a été piratée !

Reddit a confirmé qu’un pirate avait un accès momentané aux services internes après avoir été capable de contourner l’identification par deux facteurs SMS.

Lorsque vous entendez parler d’un piratage, vous avez immédiatement quelques pensées qui vous traversent l’esprit. Qu’est-ce qu’ils ont piraté exactement ? Juste des données d’entreprise ou ont-ils réussi à hacker des informations d’utilisateur également ? Heureusement, Reddit a déclaré que rien de valeur réelle n’a été pris. La partie la plus préoccupante du piratage ? Le fait que le pirate ait pu pirater une authentification à deux facteurs par SMS.

Ce que nous savons :

Reddit est au courant du piratage de données depuis le 19 juin, mais vient de publier une déclaration sur le sujet. Le pirate a fait son travail entre le 14 et le 18 juin. Le pirate a eu accès à une sauvegarde de Reddit à partir de 2007, ce qui a permis au pirate d’accéder à des mots de passe hachés.

Le pirate a également réussi à accéder aux « résumés des emails » de Reddit datant de juin 2018. Cela a permis au pirate d’accéder aux adresses électroniques qui reçoivent le résumé de courrier électronique de Reddit. Ceci est une bonne nouvelle pour les milliers d’utilisateurs de Reddit qui s’inquiétaient des informations personnelles et des mots de passe.

Reddit a également rapidement confirmé que le pirate avait obtenu un «accès en lecture seule» et n’a pas pu accéder en écriture aux systèmes Reddit.

La double authentification par SMS n’est pas si sûr.

Le piratage, qui a surpris toute la communauté informatique, montre le point faible de l’authentification à deux facteurs par SMS. L’authentification à deux facteurs SMS nécessite non seulement un mot de passe pour se connecter, mais vous devez également saisir un code qui a été envoyé à un numéro de téléphone enregistré. Le pirate a pu accéder aux comptes des employés en arnaquant simplement leurs fournisseurs de services téléphoniques.

Bien qu’il semble logique que les numéros de téléphone soient difficiles d’accès, les pirates informatiques ont réussi à arnaquer les entreprises de télécommunications pour leur faire passer des mots de passe et transférer des numéros sur des cartes SIM appartenant au pirate. Après avoir accédé au numéro, le pirate informatique peut alors envoyer le code SMS à deux facteurs et accéder essentiellement aux informations personnelles de la victime, telles que les mots de passe.

Reddit demande aux utilisateurs de laisser tomber la double authentification.

Le modérateur de Reddit, KeyserSosa, a donné quelques conseils aux utilisateurs de Reddit.

Bien qu’il soit recommandé d’utiliser l’authentification 2FA par SMS, le SMS à deux facteurs est encore beaucoup plus sûr que l’utilisation d’un simple mot de passe. La manière traditionnelle de se connecter à des sites et à des applications s’est avérée très facilement piratée. Google a mis en place une clé de sécurité matérielle pour empêcher le phishing sur les comptes de ses employés.

Qui a été affecté ?

Reddit a commencé à envoyer des emails aux utilisateurs qui ont été touchés par le piratage. Ils enverront des invitations à changer les mots de passe aux personnes concernées s’ils le jugent nécessaire, mais vous suggérons de changer votre mot de passe quand même. Reddit enverra aux utilisateurs des informations et des conseils supplémentaires sur la manière de mieux protéger leurs informations et sur ce qu’ils peuvent faire de plus en matière d’informations volées pendant la violation.

Quelques conseils à suivre : Il est temps d’arrêter avec les mots de passe terribles.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage