Reddit, el popular
sitio de agregación de noticias y marcadores sociales habría sido hackeado en
junio de este año. Registros de eventos, copias de bases de datos y el código
fuente (ahora privativo) de Reddit, podría haber sido extraído por el atacante.
Según un responsable
de Reddit, durante el intervalo de tiempo entre el 14 y el 18 de junio, varios
servidores de la infraestructura de Reddit habrían sido atacados, con el
resultado de la extracción de datos de usuarios, en concreto, direcciones de
correo electrónico actuales y una copia de las credenciales de acceso que data
del año 2007.
Respecto a las
contraseñas, se trataría del grueso correspondiente al año 2007. Una copia de
seguridad de los inicios del sitio. Además, y sorprende por la época, las
credenciales no estaban guardadas en texto plano (hash + sal). Dado el
transcurso de tiempo, es bastante improbable que las contraseñas que puedan
extraerse de ahí sean útiles hoy día, aunque no es sorprendente ver cuentas
cuyas contraseñas no han sido cambiadas en lustros.
Además, han sido
extraídas listas de correos electrónicos de usuarios actuales, procedentes del
sistemas de envío de resúmenes de noticias. Estas sí serían actuales, en
concreto de todos los usuarios que tuvieran marcada dicha opción durante el día
3 y el 17 de junio. Repetimos: solo un listado de direcciones de correos
electrónicos, nada de credenciales, en principio.
Eso en cuanto a los
datos de usuario, pero llama la atención en el post que hace el responsable de
Reddit, una anotación que puede pasar desapercibida:
As the
attacker had read access to our storage systems, other data was accessed such
as Reddit source code, internal logs, configuration files and other employee
workspace files, but these two areas are the most significant categories of
user data.
Es decir, que la
filtración de datos de usuario, que no es precisamente un botín rebosante de
maravedies, solo es una pizca de lo acontecido; aunque sí es lo que determina
las posibles sanciones administrativas. El código fuente del Reddit actual,
privativo, podría estar durmiendo en el disco duro de su asaltante.
Aunque el código
fuente de Reddit siempre ha sido publicado con una licencia de fuente abierta,
la compañía cerró el código fuente de la aplicación principal (aunque sigue
publicando proyectos laterales y herramientas). Según el artículo publicado por
el responsable de Reddit, el atacante habría tenido acceso a este código,
recordemos, una versión muy distinta a la última versión libre publicada; ya
que el sitio recibió un completo lavado de cara a inicios de este mismo año.
Centrándonos en el
ataque en si, llama la atención un aspecto importante:
we
learned that SMS-based authentication is not nearly as secure as we would hope,
and the main attack was via SMS intercept. We point this out to encourage
everyone here to move to token-based 2FA.
Aunque las cuentas de
empleados que habrían sido hackeadas poseían doble factor de autenticación,
este era un mensaje SMS y habría sido interceptado. Ojo, no estamos frente a un
ataque oportunista contra servidores y mala configuración. Nos está desvelando
una parte importante de como se desarrolló el plan del atacante: fue a por los
empleados, y es más que probable que echara mano de ingeniería social o algo
más complejo para hacerse con el código de los mensajes SMS enviados a los
empleados.
En un comentario
aparte, el mismo responsable, comenta que contrataron hace dos meses y medio a
un jefe de seguridad. Lo que no deja de llamar la atención, que una compañía
con un gran público en Internet, no lo tuviera ya desde hace años.
Como podemos ver, no
solo se trata de construir una infraestructura segura. Un ataque centrado en
las personas suele ser más fructífero que uno enfocado en la complejidad
técnica. En este caso, ni tan siquiera un segundo factor de autenticación ha
parado al atacante, quien de una forma u otra se hizo con los mensajes SMS. Es
desde luego un ataque muy personalizado, del que sabemos poco pero podemos
inferir mucho.
Más información:
·
We
had a security incident. Here's what you need to know. https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/
Fuente: Hispasec