Reddit-hack: tweestapsverificatie via SMS niet waterdicht

In eerdere posts op deze website hebben we aangegeven dat tweestapsverificatie een belangrijke stap tegen cybercrime is. Bij tweestapsverificatie is er -naast een password- nog een andere verificatie nodig. Tweestapsverificatie kan onder andere via sms, via een app en via een "token", een apparaatje dat een code genereert of dat in de buurt moet zijn.

Een hack bij de grote Amerikaanse website Reddit.com wijst uit dat tweestapsverificatie via sms niet veilig genoeg is voor belangrijke informatie. In dit geval is namelijk de verificatiesms onderschept. Zo waren kwaadwillenden alsnog in staat om in een account in te breken.

De aanvallers konden de sms onderscheppen, doordat ze de klantenservice van de telecommaatschappij benaderden. Ze kregen de servicemedewerkers zo ver dat ze een nieuwe sim-kaart opgestuurden voor het betreffende mobiele nummer. Via die nieuwe sim-kaart ontvingen de aanvallers vervolgens de security-codes.

Er zijn verhalen bekend van mensen, wiens hele online leven verwoest is door diefstal van hun telefoonnummer. Soms kan door het betalen van geld de schade worden beperkt. In dat geval is het een alternatieve vorm van afpersing. Maar soms is het om andere dingen te doen. Voorbeelden daarvan zijn toegang tot een social media account met veel volgers, wraak of financieel gewin.

Het gebruik van een "hardware token", zoals de Yubikey, de SecurID van RSA of de nieuwe Google Titan Security Key zijn de veiligste opties. Een alternatief is het gebruik van een app die codes genereert.

Deel dit artikel: