Sistemas de Reddit Hacked, Información Personal Antigua Robada

¿Eres usuario de Reddit? ¿Cuánto tiempo has estado usándolo? ¿Lo estabas usando en 2007? Es difícil recordarlo, ¿no? Si lo logras resolver y lo estabas utilizando hace más de una década, en 2007, es posible que tu información personal haya sido robada. Los hackers vulneraron los sistemas de Reddit y robaron un conjunto de datos de usuario, pero son datos que tienen once años de antigüedad.

La Brecha

Claro, Reddit es un gran lugar para ir si te gusta leer las noticias y luego discutirlas. De hecho, siempre lo ha sido, desde 2005. Ni siquiera tienes que registrarte para leer el contenido allí, pero si quieres enviar tus propias noticias, votar por otras o discutir lo que estás leyendo, necesitas tener una cuenta.

Los sistemas de Reddit fueron hackeados a mediados de junio, siendo descubierto el 19 de junio. La información personal que fue robada incluía direcciones de correo electrónico y contraseñas actuales de 2007.

“Desde entonces hemos estado llevando a cabo una minuciosa investigación para averiguar qué se accedió y para mejorar nuestros sistemas y procesos para evitar que esto vuelva a suceder,” dijo el director de tecnología de Reddit y ingeniero fundador, Christopher Slowe, en una publicación en Reddit.

news-reddit-hacked-01

El Problema con la Autenticación Basada en SMS

Lo que hizo posible la brecha fue que Reddit estaba utilizando una forma obsoleta de autenticación de dos factores en las cuentas de los empleados, según Slowe. Cuando un empleado iniciaba sesión, recibía un mensaje de SMS con un código de un solo uso para ingresar después de su contraseña. Pero este sistema ya no se considera seguro, ya que es demasiado fácil para los atacantes interceptar los códigos de los mensajes de texto.

“Aprendimos que la autenticación basada en SMS no es tan segura como esperaríamos, y el ataque principal fue a través de interceptaciones de SMS,” explicó Slowe. Afortunadamente, están cambiando su sistema de inicio de sesión de empleados para que este tipo de cosas no suceda nuevamente.

Las contraseñas que fueron robadas estaban hasheadas, lo que significa que se pasaron por un proceso de cifrado para descomponerlas en una larga cadena de caracteres aleatorios para dificultar aún más volver a unirlas. Pero el hashing ha mejorado en la última década, y esas técnicas más antiguas ahora se consideran fáciles de romper.

El Instituto Nacional de Estándares y Tecnología de EE. UU. dijo en 2016 que no recomendaría la autenticación basada en SMS en el futuro. Un año después, publicaron una guía oficial que muestra los riesgos que se toman al usar la autenticación basada en SMS para asegurar los sistemas de una organización.

news-reddit-hacked-hoodie

Slowe admitió que no siempre pudieron evitar usar la autenticación basada en SMS debido al software de terceros que estaban utilizando. Sin embargo, Slowe informa que “desde entonces han resuelto esto”. Agregó: “Señalamos esto para alentar a todos aquí a migrar a la autenticación de dos factores basada en tokens”.

Avanzando

¿Te preocupa no haber cambiado tu contraseña de Reddit desde 2007? Slowe dijo que se comunicarán contigo si te afectó esta brecha. Si tu contraseña fue vulnerada y aún la estás usando, te verás obligado a restablecerla. Pero francamente, en este momento, no estoy seguro de por qué no querrías restablecerla.

“Ya sea que Reddit te pida o no que cambies tu contraseña,” agregó Slowe, “piensa si todavía usas la contraseña que usaste en Reddit hace once años en otros sitios hoy en día.”

¿Te preocupa que tu contraseña de 2007 haya sido comprometida? ¿Estabas usando Reddit en ese entonces y lo olvidaste, dejando tu contraseña vulnerable? Háznos saber tu posición con respecto a esta brecha de Reddit.