Getty Resimleri
Popüler tartışma sitesi Reddit, bu hafta, bir çalışanın oturum açma kimlik bilgilerini başarıyla ele geçiren bir saldırının sonucu olan başka bir güvenlik ihlalini ifşa ettiğinde, güvenliğinin hâlâ yetersiz olduğunu kanıtladı.
Reddit Baş Teknik Sorumlusu Chris “KeyserSosa” Slowe Perşembe günü yayınlanan bir gönderide, çalışan hesabının ihlalinin ardından saldırganın yüzlerce Reddit çalışanının kaynak koduna, dahili belgelere, dahili panolara, iş sistemlerine ve iletişim bilgilerine eriştiğini söyledi. Slowe, son birkaç gün içinde ihlalle ilgili bir soruşturmanın, şirketin birincil üretim sistemlerine veya kullanıcı parola verilerine erişildiğine dair herhangi bir kanıt ortaya çıkarmadığını söyledi.
Slowe, “5 Şubat 2023’ün sonlarında (PST) Reddit çalışanlarını hedef alan karmaşık bir kimlik avı kampanyasının farkına vardık” diye yazdı. “Çoğu kimlik avı kampanyasında olduğu gibi, saldırgan, kimlik bilgilerini ve ikinci faktör belirteçlerini çalmak amacıyla çalışanları intranet ağ geçidimizin davranışını klonlayan bir web sitesine yönlendiren, akla yatkın görünen istemler gönderdi.”
Dolandırıcılığa tek bir çalışan düştü ve bununla Reddit ihlal edildi.
Başarılı bir kimlik bilgisi kimlik avı kampanyası, Reddit’in ağının ihlaline yol açtığı ilk sefer değil. 2018’de, başka bir Reddit çalışanına yönelik başarılı bir kimlik avı saldırısı, kriptografik olarak tuzlanmış ve hashlenmiş parola verileri, karşılık gelen kullanıcı adları, e-posta adresleri ve özel mesajlar dahil tüm kullanıcı içeriği dahil olmak üzere çok sayıda hassas kullanıcı verisinin çalınmasıyla sonuçlandı.
Bu daha önceki ihlalde, oltalanan çalışanın hesabı, bir SMS metniyle gönderilen tek seferlik parolalara (OTP) dayanan zayıf bir iki faktörlü kimlik doğrulama (2FA) biçimiyle korunuyordu. Güvenlik uygulayıcıları, birkaç saldırı tekniğine karşı savunmasız olduğu için SMS tabanlı 2FA’ya yıllarca kaşlarını çattı. Bunlardan biri, saldırganların mobil operatörü numarayı aktarması için kandırarak hedeflenen bir telefon numarasının kontrolünü ele geçirdiği SIM takası olarak adlandırılır. Diğeri OTP’yi ele geçirir.
Reddit yetkilileri 2018 ihlalini açıkladığında, deneyimin onlara “SMS tabanlı kimlik doğrulamanın umduğumuz kadar güvenli olmadığını” öğrettiğini ve “Buradaki herkesi belirteç tabanlı 2FA’ya geçmeye teşvik etmek için bunu belirtiyoruz. ”
Birkaç yıl ileri sar ve Reddit’in çalışan kimlik doğrulama süreçlerini güvence altına alma konusunda hala doğru dersleri öğrenmediği açık. Reddit, şu anda ne tür bir 2FA sistemi kullandığını açıklamadı, ancak saldırganın çalışanın ikinci faktör belirteçlerini çalmayı başardığının kabul edilmesi, bize bilmemiz gereken her şeyi anlatıyor; kimlik bilgisi oltalama saldırıları.
Bu duyarlılığın nedeni değişebilir. Bazı durumlarda belirteçler, çalışanların oturum açma işlemi sırasında, genellikle parolalarını girdikten hemen sonra aldıkları bildirimlere dayanır. İtme, bir çalışanın bir bağlantıya veya “evet” düğmesine tıklamasını gerektirir. Bir çalışan şifreyi bir kimlik avı sitesine girdiğinde, uyarıyı almak için her türlü beklentisi vardır. Site orijinal göründüğünden, çalışanın bağlantıya veya düğmeye tıklamaması için hiçbir nedeni yoktur.
Authy veya Google Authenticator gibi bir kimlik doğrulama uygulaması tarafından oluşturulan OTP’ler de benzer şekilde savunmasızdır. Sahte site yalnızca şifreyi değil, aynı zamanda OTP’yi de avlar. Hızlı parmaklı bir saldırgan veya web sitesinin diğer ucundaki otomatik bir geçiş, verileri hızlı bir şekilde gerçek çalışan portalına girer. Bununla, hedeflenen şirket ihlal edilir.
Şu anda mevcut olan en iyi 2FA biçimi, FIDO (Fast Identity Online) olarak bilinen bir endüstri standardı ile uyumludur. Standart, çoğu zaman bir telefon olmak üzere fiziksel bir donanımın, hesapta oturum açan cihazın yakınında olmasını gerektiren birden fazla 2FA biçimine izin verir. Çalışan hesabında oturum açan kimlik avcıları, kimlik doğrulama cihazından kilometrelerce veya kıtalar uzakta olduğundan, 2FA başarısız olur.
FIDO 2FA, kayıtlı cihaza sahip olduğunu kanıtlamanın yanı sıra, kullanıcının kimlik doğrulayıcı cihaza bir yüz taraması veya parmak izi vermesi gerektiğinde daha da güçlü hale getirilebilir. Bu önlem 3FA’ya (şifre, fiziksel anahtara sahip olma ve parmak izi veya yüz taraması) izin verir. Biyometri, kimlik doğrulama cihazından asla ayrılmadığından (telefondaki parmak izine veya yüz okuyucuya dayandığından), çalışan için gizlilik riski yoktur.
Geçen yıl dünya, OTP’ler ve FIDO ile 2FA arasındaki karşıtlıkla ilgili gerçek dünya vaka incelemesini aldı. Kimlik bilgileri avcıları, Twilio iletişim platformu için ikna edici bir çalışan portalı sahtekarı ve kimlik bilgilerinin OTP’nin süresi dolmadan gerçek Twilio sitesine girilmesini sağlamak için gerçek zamanlı bir geçiş kullandı (tipik olarak, OTP’ler bir dakika veya daha kısa bir süre sonra geçerlidir). yeniden yayınlandı). Saldırganlar, kimlik bilgilerini girmeleri için bir veya daha fazla çalışanı kandırdıktan sonra içeri girdi ve hassas kullanıcı verilerini çalmaya başladı.
Aynı sıralarda, içerik dağıtım ağı Cloudflare aynı kimlik avı kampanyası tarafından vuruldu. Üç çalışan, kimlik bilgilerini sahte Cloudflare portalına girmeleri için kandırılırken, saldırı basit bir nedenden dolayı başarısız oldu: şirket, 2FA için OTP’lere güvenmek yerine FIDO’yu kullandı.
Reddit’e karşı adil olmak gerekirse, 2FA’ya güvenen ve kimlik bilgileri kimlik avına karşı savunmasız olan kuruluşlarda eksiklik yok. Ancak daha önce de belirtildiği gibi, Reddit daha önce de bu yoldan geçmişti. Şirket, 2018 saldırısından ders çıkarmaya söz verdi, ancak açıkça yanlış ders çıkardı. Doğru ders şudur: FIDO 2FA, kimlik bilgileri kimlik avına karşı bağışıktır. OTP’ler ve itmeler değildir.
Reddit temsilcileri, bu gönderi için yorum isteyen bir e-postaya yanıt vermedi.
Hangi hizmeti kullanacaklarına karar vermeye çalışan ve satış ekipleri veya birden fazla rakip sağlayıcının reklamları tarafından yönlendirilen kişiler, sağlayıcının 2FA sistemlerinin FIDO uyumlu olup olmadığını sorsa iyi eder. Diğer her şey eşit olduğunda, ağ ihlallerini önlemek için FIDO kullanan sağlayıcı kesinlikle en iyi seçenektir.
