La seguridad no es perfecta, y es que todo método de protección podría ser vulnerado, y todo sitio, hackeado. Esa lección la aprendieron en Reddit el pasado mes de junio, ya que un hacker logro hackearles y robar datros de algunos de sus usuarios.

Reddit hackeado vía autenticación por SMS

Entre los días 14 y 18 de junio, un hacker logró acceder a los sistemas internos de Reddit a través del robo de credenciales de sus empleados, entrando al sector donde se almacena un respaldo de la web desde su creación en 2005 hasta mayo de 2007.

La página, que se percató de este ataque el 19 de junio, detalla que entre esa información a la que el hacker tuvo acceso se encuentra con correos, nombres de usuario y sus contraseñas, claves de cifrado e, incluso, mensajes privados.

Junto a todo esto, el atacante también obtuvo información de los boletines de correo enviados durante junio de 2018, incluyendo lista de usuarios con nombres y correos, además de a los subreddits a los que están estos suscritos.

Los SMS son vulnerables

Este hacker logró interceptó los SMS provistos por el método de autenticación en dos pasos, conocido también como 2FA, de los empleados. Con ello, accedió al sistema interno y procedió al robo de datos.

Hoy aprendimos que la autenticación basada en SMS no es tan segura como esperábamos

Por fortuna para Reddit, no pudo modificar otros datos como el código fuente de Reddit u otros datos de empleados y copias de seguridad. Así, siendo vulnerable la autenticación por SMS, en Reddit recomiendan usar otros métodos de 2FA como los basados en token, es decir, a través de aplicaciones como Authy.

Finalmente, los usuarios afectados, en su mayoría antiguos usuarios de la plataforma, ya han sido avisados del hackeo, recomendándose el cambio de la contraseña y, además, eliminar cualquier publicación incriminatoria accesible desde su perfil.