La notizia, giunta via Twitter da @skhemissa è che Reddit è stata violata da qualcuno che ha compromesso le credenziali di personale interno per accedere a dei server cloud e di immagazzinamento di codice sorgente (e quindi a dei backup di dati degli utenti in sola lettura):
- https://thehackernews.com/2018/08/hack-reddit-account.html.
La stessa notizia l'ho trovata (più sintetica) sul SANS NewsBites Vol. 20 Num. 061, che si può consultare su questa pagina:
- https://www.sans.org/newsletters/newsbites/.
Questa notizia è importante perché le credenziali erano protette da un sistema di autenticazione a due fattori (o 2-factor-authentication o 2FA) basato su SMS e questo attacco ha dimostrato che è facile comprometterlo.
Se il 2FA basato su SMS è debole, ancora più debole è il sistema basato sulle sole user-id e password.
E quindi io mi chiedo: quanti hanno detto ai loro clienti che i servizi accedibili con sole user-id e password sono vulnerabili? Penso in particolare ai servizi su cloud (tra cui email, file sharing, backup), ma anche, ovviamente, agli altri.
Ricordo, copiando dal SANS NewsBites, alcuni punti:
- la pubblicazione NIST SP 800-63-3 (che già segnalai a suo tempo) raccomandava di non usare sistemi 2FA basati su SMS;
- il 2FA basato su SMS è comunque preferibile ai sistemi basati su sole user-id e password ed è più economico dei sistemi 2FA basati su token;
- esempi di sistemi 2FA basati su token sono Google Auth, MS Authenticator, YubiKey e RSA SecurID.
Nessun commento:
Posta un commento