Zusammenfassung
- Der Sicherheitsvorfall von Reddit im Jahr 2018 ist Teil einer Risiko- und Verantwortungsakte, da die Ankündigung des Unternehmens unterhttps://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/zeigte, dass Angreifer auf einige Systeme von Reddit zugegriffen hatten, nachdem sie Mitarbeiterkonten bei Cloud- und Quellcode-Hosting-Anbietern kompromittiert hatten, trotz einer Zwei-Faktor-Authentifizierung per SMS.
- Dieser Fall betrifft nicht nur die Schwäche von SMS im Vergleich zu einer stärkeren Multi-Faktor-Authentifizierung. Es geht darum, warum die Kompromittierung des Mitarbeiterzugriffs eine vollständige Kopie einer alten Datenbanksicherung mit frühen Benutzerdaten offenlegte und warum die E-Mail-Digest-Protokolle vom Juni 2018 Benutzernamen und E-Mail-Adressen für Personen verknüpfen konnten, die möglicherweise auf den pseudonymen Kontext von Reddit vertrauten.
- Die öffentlichen Berichte unterhttps://www.wired.com/story/reddit-hacked-thanks-to-woefully-insecure-two-factor-setup/,https://arstechnica.com/information-technology/2018/08/password-breach-teaches-reddit-that-yes-phone-based-2fa-is-that-bad/,https://krebsonsecurity.com/2018/08/reddit-breach-highlights-limits-of-sms-based-authentication/undhttps://techcrunch.com/2018/08/01/reddit-breach-exposes-user-data-but-not-much/unterstützen die Chronologie und den Rahmen des SMS-Abfangens, aber dieser Artikel betrachtet Reddits Ankündigung als das wichtigste öffentliche Dokument.
- Die NIST-Richtlinien zur digitalen Identität unterhttps://pages.nist.gov/800-63-3/sp800-63b.htmlund das aktuelle Kontrollvokabular des NIST unterhttps://www.nist.gov/cyberframeworkundhttps://csrc.nist.gov/publications/detail/sp/800-53/rev-5/finalsind wichtig, da der Vorfall Authentifizierung, Zugriffskontrolle, Prüfbarkeit, Aufbewahrung, Backup-Management, Incident Response und Benutzerbenachrichtigung miteinander verbindet und nicht nur ein einzelnes Anmeldeversagen.
- Die Verantwortungsfrage ist handfest: Wer hatte den Nachweis, dass die exponierte Sicherung alt war, wer wusste, welche E-Mail-Digests Konten mit Adressen verknüpften, wer entschied, welche Benutzer kontaktiert werden sollten, und wer sorgte nach dem Vorfall für eine stärkere Authentifizierung der Mitarbeiter und eine Governance der Sicherungsdaten?
Warum dieser Fall Teil einer Risiko- und Verantwortungsakte ist
Reddit ist Teil einer Risiko- und Verantwortungsakte, da sein öffentliches Wertversprechen stets von einer fragilen Mischung aus offener Beteiligung, pseudonymer Identität, Community-Moderation und zentralisierter Plattforminfrastruktur abhängig war. Nutzer können sensible Interessen, politische Meinungen, Gesundheitsfragen, berufliche Anliegen, lokale Informationen, Beziehungsprobleme, finanzielle Sorgen oder Identitätssignale unter Benutzernamen preisgeben, die bei normaler öffentlicher Navigation nicht unbedingt mit ihren echten Namen verknüpft sind.
Ein Verstoß, der E-Mail-Adressen, Benutzernamen, alte private Nachrichten, alte Anmeldedaten oder E-Mail-Digest-Empfänger verknüpft, verändert daher das Risiko für den Nutzer, selbst wenn die offengelegten Aufzeichnungen kein vollständiges Profil darstellen. Das Problem der Plattformverantwortung beschränkt sich nicht darauf, ob jemand aktuelle Passwörter gestohlen hat. Es geht darum, ob die Plattform beweisen kann, dass alte Aufzeichnungen, Backups, Protokolle, Kontaktsysteme und administrative Mitarbeiterzugriffe nicht zu einer dauerhaften Brücke zwischen pseudonymer Beteiligung und realweltlicher Kontaktierbarkeit geworden sind.
Das wichtigste öffentliche Dokument ist die Ankündigung von Reddit im August 2018 unterhttps://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/. Reddit gab bekannt, dass ein Angreifer zwischen dem 14. und 18. Juni 2018 einige Mitarbeiterkonten bei Cloud- und Quellcode-Hosting-Anbietern kompromittiert hatte. Das Unternehmen gab an, dass die Konten durch eine Zwei-Faktor-Authentifizierung geschützt waren, der zweite Faktor jedoch SMS war, und Reddit schlussfolgerte, dass die SMS-Authentifizierung nicht so sicher war wie erhofft. Reddit erklärte, dass der Angreifer schreibgeschützten Zugriff auf einige Systeme mit Sicherungsdaten, Quellcode und anderen Protokollen hatte. Reddit gab außerdem an, dass der Angreifer Zugriff auf eine vollständige Kopie einer alten Datenbanksicherung mit den frühen Reddit-Benutzerdaten von 2007 und früher sowie auf Protokolle mit den E-Mail-Digests hatte, die Reddit im Juni 2018 versendet hatte.
Diese Offenlegung erweiterte den Vorfall über eine einfache Passwortzurücksetzungsgeschichte hinaus. Der Angreifer musste keine Reddit-Inhalte ändern, um eine Haftungsexposition zu schaffen. Ein schreibgeschützter Zugriff reichte aus, wenn die zugänglichen Systeme historische Backups, Quellcode, Protokolle und Benutzerkontaktaufzeichnungen enthielten. Das Backup war alt, aber alte Daten können Personen immer noch identifizieren. Die E-Mail-Digests waren aktuell, aber sie wurden durch eine Kommunikationsfunktion erstellt, nicht durch einen Benutzer, der Kontodaten explizit exportierte.
Die Mitarbeiterkonten waren geschützt, aber der gewählte zweite Faktor war anfällig für Abfangen. Jede Tatsache weist auf einen anderen Kontrollverantwortlichen hin: Identitäts- und Zugriffsmanagement, Backup-Aufbewahrung, Zugriff auf Cloud-Anbieter, Quellcode-Hosting, E-Mail-Operationen, Protokollierung, Benutzerbenachrichtigung und rechtliche Reaktion.
Die offensichtliche Frage ist also nicht abstrakt „Wurde Reddit gehackt?“. Die Verantwortungsfrage lautet: Wer hatte die praktische Kontrolle über die SMS-Multi-Faktor-Authentifizierung der Mitarbeiter, den Zugriff auf Cloud- und Quellcode-Hosting, die Aufbewahrung von Sicherungsdaten, die Protokollminimierung, die Identitätsverknüpfung durch E-Mail-Digests, die Benutzerbenachrichtigung und den Nachweis, dass die alten Daten nicht stärker exponiert waren, als Benutzer vernünftigerweise erwarten konnten? Reddits öffentliche Ankündigung beantwortete diese Frage teilweise, indem sie die Datenkategorien und Abhilfemaßnahmen identifizierte.
Sie legte jedoch nicht die vollständige Karte der Anbieterzugriffe, alle betroffenen Mitarbeiterkonten, die vollständige Begründung für die Backup-Aufbewahrung, das vollständige Protokollschema oder jedes Erkennungssignal, das zur Entdeckung führte, offen – und konnte dies in einer öffentlichen Ankündigung wahrscheinlich auch nicht.
Der Vorfall begann mit Mitarbeiterzugriff, nicht mit der Übernahme öffentlicher Konten
Die erste Verantwortungsunterscheidung besteht zwischen der Übernahme von Benutzerkonten und der Kompromittierung des Mitarbeiterzugriffs. Reddits eigene Ankündigung beschrieb kompromittierte Mitarbeiterkonten bei Anbietern, die Cloud- und Quellcode-Workflows unterstützen. Der zeitgenössische Bericht von Wired unterhttps://www.wired.com/story/reddit-hacked-thanks-to-woefully-insecure-two-factor-setup/betonte, dass Angreifer durch die Kompromittierung administrativer Mitarbeiterkonten im Zusammenhang mit Cloud-Speicher und Quellcode-Speicher Zugang erhielten. Der Bericht von TechCrunch unterhttps://techcrunch.com/2018/08/01/reddit-breach-exposes-user-data-but-not-much/beschrieb ebenfalls die per SMS abgefangene Zwei-Faktor-Authentifizierung als den Weg, der eine von Reddit implementierte Kontrolle umging. KrebsOnSecurity unterhttps://krebsonsecurity.com/2018/08/reddit-breach-highlights-limits-of-sms-based-authentication/präsentierte das Ereignis als Lehre über die Grenzen mobiler Textnachrichten als zweiten Faktor.
Diese Unterscheidung ist wichtig, da öffentliche Benutzerhinweise sonst in die falsche Abhilfe abgleiten könnten. Benutzer können Passwörter ändern, die Wiederverwendung alter Anmeldedaten vermeiden, einen stärkeren Kontoschutz aktivieren und auf Phishing achten. Diese Maßnahmen sind sinnvoll. Aber Benutzer konnten die Authentifizierungsmethode der Mitarbeiter, die die Anbieterkonten von Reddit schützte, nicht korrigieren. Sie konnten nicht entscheiden, wie Reddit Sicherungsdaten speicherte. Sie konnten nicht entscheiden, welche E-Mail-Digest-Protokolle aufbewahrt wurden.
Sie konnten keine geringsten Privilegien zwischen Cloud- und Quellcode-Hosting-Anbietern durchsetzen. Wenn die kompromittierte Grenze in der administrativen Umgebung des Plattformbetreibers liegt, muss die Verantwortungsreaktion beim Betreiber und seinen Anbietern verbleiben, nicht bei den betroffenen Benutzern.
Die öffentlichen Fakten zeigen auch, warum „schreibgeschützt“ an sich kein risikoarmes Attribut ist. Schreibgeschützter Zugriff verhindert Inhaltsänderungen, verhindert jedoch nicht Exfiltration, Korrelation, Credential-Cracking, Quellcode-Inspektion oder nachfolgende Social Engineering. In einem Plattformkontext kann das Lesen eines alten Backups historische Kontodaten und E-Mail-Adressen offenlegen. Das Lesen von Protokollen kann aufdecken, welches Konto welche Kommunikation erhalten hat.
Das Lesen von Quellcode kann einem Angreifer helfen, die Architektur zu verstehen, obwohl öffentliche Berichte nicht belegt haben, dass der Quellcode für einen späteren Angriff verwendet wurde. Verantwortung erfordert, diese Möglichkeiten zu trennen. Es ist richtig zu sagen, dass schreibgeschützter Zugriff schwerwiegend sein kann. Es ist nicht richtig, basierend allein auf den öffentlichen Akten zu behaupten, dass jeder mögliche nachgelagerte Missbrauch stattgefunden hat.
Reddits Ankündigung leistete nützliche Abgrenzungsarbeit, indem sie benannte, was beteiligt war. Das ältere Backup enthielt Kontodaten und E-Mail-Adressen von 2007 und früher. Reddit gab an, dass diese Anmeldedaten gesalzen und gehasht waren. Die E-Mail-Digest-Protokolle vom Juni 2018 enthielten Benutzernamen und zugehörige E-Mail-Adressen für Benutzer, die diese Digests abonniert hatten. Reddit gab an, dass es Nachrichten an betroffene Benutzer sendete und Passwortzurücksetzungen für Konten verlangte, deren Anmeldedaten möglicherweise noch gültig waren. Dies sind bestätigte öffentliche Fakten.
Sie zeigen auch das zentrale Verantwortungsthema: Sicherheitskontrollen müssen daran gemessen werden, was ein kompromittiertes Mitarbeiterkonto lesen kann, nicht nur an der Fähigkeit des Angreifers, Produktionsinhalte zu ändern.

