.
Getty Images
O popular site de discussão Reddit provou esta semana que sua segurança ainda não é suficiente quando divulgou outra violação de segurança que foi o resultado de um ataque que roubou com sucesso as credenciais de login de um funcionário.
Em um post publicado na quinta-feira, o diretor técnico do Reddit, Chris “KeyserSosa” Slowe, disse que após a violação da conta do funcionário, o invasor acessou o código-fonte, documentos internos, painéis internos, sistemas de negócios e detalhes de contato de centenas de funcionários do Reddit. Uma investigação sobre a violação nos últimos dias, disse Slowe, não revelou nenhuma evidência de que os principais sistemas de produção da empresa ou que os dados de senha do usuário foram acessados.
“No final (PST) de 5 de fevereiro de 2023, tomamos conhecimento de uma campanha de phishing sofisticada que visava funcionários do Reddit”, escreveu Slowe. “Como na maioria das campanhas de phishing, o invasor enviou prompts que pareciam plausíveis, apontando os funcionários para um site que clonava o comportamento de nosso gateway de intranet, em uma tentativa de roubar credenciais e tokens de segundo fator.”
Um único funcionário caiu no golpe e, com isso, o Reddit foi violado.
Não é a primeira vez que uma campanha bem-sucedida de phishing de credenciais leva à violação da rede do Reddit. Em 2018, um ataque de phishing bem-sucedido em outro funcionário do Reddit resultou no roubo de uma montanha de dados confidenciais do usuário, incluindo dados de senha criptografados e com hash, os nomes de usuário correspondentes, endereços de e-mail e todo o conteúdo do usuário, incluindo mensagens privadas.
Naquela violação anterior, a conta do funcionário phishing foi protegida por uma forma fraca de autenticação de dois fatores (2FA) que dependia de senhas de uso único (OTP) enviadas em um texto SMS. Os profissionais de segurança desaprovaram o 2FA baseado em SMS por anos porque ele é vulnerável a várias técnicas de ataque. Uma delas é a chamada troca de SIM, na qual os invasores assumem o controle de um número de telefone direcionado, enganando a operadora de celular para transferi-lo. O outro phishing o OTP.
Quando os funcionários do Reddit divulgaram a violação de 2018, eles disseram que a experiência os ensinou que “a autenticação baseada em SMS não é tão segura quanto esperávamos” e “Apontamos isso para encorajar todos aqui a mudar para 2FA baseado em token. ”
Avançando alguns anos, é óbvio que o Reddit ainda não aprendeu as lições certas sobre como proteger os processos de autenticação de funcionários. O Reddit não revelou que tipo de sistema 2FA ele usa agora, mas a admissão de que o invasor conseguiu roubar os tokens de segundo fator do funcionário nos diz tudo o que precisamos saber – que o site de discussão continua a usar 2FA, lamentavelmente suscetível a ataques de phishing de credenciais.
A razão para essa suscetibilidade pode variar. Em alguns casos, os tokens são baseados em pushes que os funcionários recebem durante o processo de login, geralmente imediatamente após inserirem suas senhas. O push requer que um funcionário clique em um link ou em um botão “sim”. Quando um funcionário insere a senha em um site de phishing, ele tem toda a expectativa de receber o push. Como o site parece genuíno, o funcionário não tem motivos para não clicar no link ou botão.
Os OTPs gerados por um aplicativo autenticador, como Authy ou Google Authenticator, são igualmente vulneráveis. O site falso não apenas frauda a senha, mas também o OTP. Um invasor de dedos rápidos ou um retransmissor automatizado na outra extremidade do site insere rapidamente os dados no portal real do funcionário. Com isso, a empresa-alvo é violada.
A melhor forma de 2FA disponível agora está em conformidade com um padrão da indústria conhecido como FIDO (Fast Identity Online). O padrão permite várias formas de 2FA que exigem que uma peça física de hardware, geralmente um telefone, esteja próxima ao dispositivo que faz login na conta. Como os phishers que fazem login na conta do funcionário estão a quilômetros ou continentes de distância do dispositivo de autenticação, o 2FA falha.
O FIDO 2FA pode ser ainda mais forte se, além de provar a posse do dispositivo cadastrado, o usuário também fornecer uma varredura facial ou impressão digital ao dispositivo autenticador. Essa medida permite 3FA (uma senha, posse de uma chave física e uma impressão digital ou varredura facial). Como a biometria nunca sai do dispositivo de autenticação (uma vez que depende da impressão digital ou do leitor facial do telefone), não há risco de privacidade para o funcionário.
No ano passado, o mundo recebeu um estudo de caso real no contraste entre 2FA com OTPs e FIDO. Os phishers de credenciais usaram um impostor convincente do portal do funcionário para a plataforma de comunicação Twilio e uma retransmissão em tempo real para garantir que as credenciais fossem inseridas no site Twilio real antes que o OTP expirasse (normalmente, os OTPs são válidos por um minuto ou menos depois de terem reemitido). Depois de enganar um ou mais funcionários para que inserissem suas credenciais, os invasores invadiram e roubaram dados confidenciais do usuário.
Na mesma época, a rede de entrega de conteúdo Cloudflare foi atingida pela mesma campanha de phishing. Enquanto três funcionários foram induzidos a inserir suas credenciais no falso portal Cloudflare, o ataque falhou por um simples motivo: em vez de depender de OTPs para 2FA, a empresa usou o FIDO.
Para ser justo com o Reddit, não faltam organizações que dependem de 2FA que são vulneráveis a phishing de credenciais. Mas, como já observado, o Reddit já percorreu esse caminho antes. A empresa prometeu aprender com a invasão de 2018, mas claramente tirou a lição errada. A lição certa é: FIDO 2FA é imune a phishing de credenciais. OTPs e pushes não são.
Os representantes do Reddit não responderam a um e-mail solicitando comentários para esta postagem.
As pessoas que estão tentando decidir qual serviço usar e estão sendo cortejadas por equipes de vendas ou anúncios de vários provedores concorrentes fariam bem em perguntar se os sistemas 2FA do provedor são compatíveis com FIDO. Tudo o mais sendo igual, o provedor que usa o FIDO para evitar violações de rede é sem dúvida a melhor opção.
.
