Reddit員工帳號遭駭，疑似是基於簡訊的雙因素驗證惹的禍

社交新聞網站Reddit本周坦承遭到駭客入侵，駭客取得了幾名Reddit員工登入雲端及原始碼代管服務供應商的憑證，進而存取了該站在2007年的資料庫備份。引起關注的是，駭客的主要攻擊管道是攔截了員工的簡訊，破解了相關登入系統的雙因素驗證機制。

Reddit說明，駭客是在今年6月14日與18日之間入侵了幾名員工登入該站的雲端與原始碼代管服務供應商的憑證，儘管這些服務的登入都要求雙因素驗證，但Reddit卻發現基於簡訊（SMS）的驗證機制並不如預期中的安全且主要的攻擊是攔截了員工的簡訊，因而提醒所有人最好都改採基於認證載具（Token）的雙因素驗證機制（Two Factor Authentication，2FA）。

在這次的資料外洩事件中，駭客存取了Reddit存放備份資料、原始碼與其它紀錄的系統，但未取得Reddit系統的寫入權限。與用戶有關的資料之一是該站在2007年的備份資料庫，內含自2005年至2007年的所有Reddit用戶資料，包括使用者名稱、加盬的雜湊密碼（Salted Hashes）、電子郵件位址，以及所張貼的內容。其次則是Reddit在今年6月3日到17日之間寄給用戶的內容摘要電子郵件，曝光的則是用戶的使用者名稱與電子郵件位址。

因此，在2007年之後才成為Reddit會員，而且也未訂閱Reddit內容摘要的用戶將完全不受此一資料外洩事件的影響。

除了用戶的資料外，Reddit的原始碼、內部紀錄、配置檔案與其它的工作文件都遭到駭客存取。Reddit已經鎖住並更換所有的機密與API金鑰，也已強化登入與監控系統。

目前Reddit已與執法機關合作展開調查，也通知受影響的用戶變更密碼，由於懷疑基於簡訊的雙因素驗證是造成此一意外的主因，已強制要求員工採用基於Token的雙因素驗證。

採用密碼+簡訊的雙因素驗證因為相對方便，因此成為不少使用者的2FA首選，但駭客卻可藉由劫持他人SIM卡以攔截通訊內容，繼之取得使用者的憑證。美國國家標準技術研究所（NIST）早在2016年發表的《數位身分認證指南》（Digital Authentication Guideline）中，就不再建議採用基於簡訊或電話語音的雙因素驗證方式；臉書旗下的Instagram也正在開發非簡訊的雙因素認證服務；日前美國警方則逮捕了一名透過SIM卡劫持，盜領價值數百萬美元加密貨幣的20歲大學生，再加上Reddit的意外，在在都顯示出SIM卡劫持與簡訊驗證的安全風險已日趨嚴重。