يُظهر خرق Reddit هذا الأسبوع أن أمان الشركة (لا يزال) غير كافٍ بشكل محزن

أثبت موقع النقاش الشهير Reddit هذا الأسبوع أن أمانه لا يزال غير كافٍ عندما كشف عن خرق أمني آخر كان نتيجة لهجوم نجح في خداع بيانات اعتماد تسجيل دخول الموظف.

في منشور نُشر يوم الخميس ، قال كبير المسؤولين التقنيين في Reddit ، كريس “KeyserSosa” Slowe ، إنه بعد خرق حساب الموظف ، تمكن المهاجم من الوصول إلى كود المصدر والمستندات الداخلية ولوحات المعلومات الداخلية وأنظمة العمل وتفاصيل الاتصال بمئات من موظفي Reddit. قال Slowe إن التحقيق في الاختراق خلال الأيام القليلة الماضية لم يكشف عن أي دليل على أن أنظمة الإنتاج الأساسية للشركة أو أنه تم الوصول إلى بيانات كلمة مرور المستخدم.

كتب Slowe: “في أواخر (PST) في 5 فبراير 2023 ، علمنا بحملة تصيد احتيالية معقدة استهدفت موظفي Reddit”. “كما هو الحال في معظم حملات التصيد الاحتيالي ، أرسل المهاجم مطالبات تبدو معقولة توجه الموظفين إلى موقع ويب استنساخ سلوك بوابة إنترانت الخاصة بنا ، في محاولة لسرقة بيانات الاعتماد ورموز العامل الثاني.”

وقع موظف واحد في عملية الاحتيال ، وبهذا ، تم اختراق Reddit.

ليست هذه هي المرة الأولى التي تؤدي فيها حملة تصيد بيانات الاعتماد الناجحة إلى اختراق شبكة Reddit. في عام 2018 ، أدى هجوم تصيد احتيالي ناجح على موظف آخر في Reddit إلى سرقة جبل من بيانات المستخدم الحساسة ، بما في ذلك بيانات كلمات المرور المملحة والمجزأة ، وأسماء المستخدمين المقابلة ، وعناوين البريد الإلكتروني ، وجميع محتويات المستخدم ، بما في ذلك الرسائل الخاصة.

في هذا الخرق السابق ، كان حساب الموظف المخادع محميًا بواسطة شكل ضعيف من المصادقة الثنائية (2FA) التي تعتمد على كلمات مرور لمرة واحدة (OTP) مرسلة في رسالة نصية قصيرة SMS. استاء ممارسو الأمن من استخدام 2FA المستند إلى الرسائل القصيرة لسنوات لأنه عرضة للعديد من تقنيات الهجوم. أحدهما هو ما يسمى بتبديل بطاقة SIM ، حيث يتحكم المهاجمون في رقم الهاتف المستهدف عن طريق خداع شركة الجوال لنقله. الاحتيالات الأخرى OTP.

عندما كشف مسؤولو Reddit عن خرق 2018 ، قالوا إن التجربة علمتهم أن “المصادقة المستندة إلى الرسائل القصيرة ليست آمنة تقريبًا كما نأمل” و “نشير إلى ذلك لتشجيع الجميع هنا على الانتقال إلى 2FA المستند إلى الرمز المميز. “

تقدم سريعًا بضع سنوات ، ومن الواضح أن Reddit لم يتعلم بعد الدروس الصحيحة حول تأمين عمليات مصادقة الموظفين. لم يكشف Reddit عن نوع نظام 2FA الذي يستخدمه الآن ، ولكن الاعتراف بأن المهاجم نجح في سرقة الرموز المميزة للعامل الثاني للموظف يخبرنا بكل ما نحتاج إلى معرفته – أن موقع المناقشة يستمر في استخدام 2FA الذي يُحزن عليه هجمات تصيد بيانات الاعتماد.

يمكن أن يختلف سبب هذه الحساسية. في بعض الحالات ، تعتمد الرموز على الدفعات التي يتلقاها الموظفون أثناء عملية تسجيل الدخول ، وعادةً ما يتم ذلك فورًا بعد إدخال كلمات المرور الخاصة بهم. يتطلب الدفع أن يقوم الموظف بالنقر فوق ارتباط أو زر “نعم”. عندما يقوم موظف بإدخال كلمة المرور في موقع تصيد ، يكون لديه كل التوقعات بتلقي الدفع. نظرًا لأن الموقع يبدو أصليًا ، فليس لدى الموظف سبب لعدم النقر فوق الارتباط أو الزر.

كلمات المرور التي تم إنشاؤها بواسطة تطبيق المصادقة مثل Authy أو Google Authenticator معرضة للخطر بالمثل. لا يقوم الموقع المزيف بالتلاعب بكلمة المرور فحسب ، بل أيضًا في كلمة المرور لمرة واحدة. يقوم المهاجم السريع ، أو الترحيل الآلي على الطرف الآخر من موقع الويب ، بإدخال البيانات بسرعة في بوابة الموظف الحقيقية. مع ذلك ، يتم اختراق الشركة المستهدفة.

يتوافق أفضل شكل من أشكال المصادقة الثنائية المتاحة الآن مع معيار الصناعة المعروف باسم FIDO (الهوية السريعة عبر الإنترنت). يسمح المعيار لأشكال متعددة من المصادقة الثنائية (2FA) التي تتطلب قطعة مادية من الأجهزة ، غالبًا هاتف ، لتكون بالقرب من الجهاز الذي يقوم بتسجيل الدخول إلى الحساب. نظرًا لأن المخادعين الذين يقومون بتسجيل الدخول إلى حساب الموظف على بعد أميال أو قارات بعيدًا عن جهاز المصادقة ، يفشل 2FA.

يمكن جعل FIDO 2FA أقوى إذا ، بالإضافة إلى إثبات حيازة الجهاز المسجل ، يجب على المستخدم أيضًا توفير مسح ضوئي للوجه أو بصمة لجهاز المصادقة. يسمح هذا الإجراء بـ 3FA (كلمة مرور ، وحيازة مفتاح مادي ، وبصمة الإصبع أو مسح الوجه). نظرًا لأن القياسات الحيوية لا تترك جهاز المصادقة أبدًا (نظرًا لأنها تعتمد على بصمة الإصبع أو قارئ الوجه على الهاتف) ، فلا يوجد خطر على خصوصية الموظف.

في العام الماضي ، حصل العالم على دراسة حالة واقعية في التناقض بين 2FA و OTPs و FIDO. استخدم محتالو بيانات الاعتماد محتالًا مقنعًا لبوابة الموظف لشركة الأمان Twilio وترحيل في الوقت الفعلي لضمان إدخال بيانات الاعتماد في موقع Twilio الحقيقي قبل انتهاء صلاحية OTP (عادةً ما تكون OTPs صالحة لمدة دقيقة أو أقل بعد ذلك صادر). بعد خداع موظف أو أكثر لإدخال بيانات اعتمادهم ، دخل المهاجمون وشرعوا في سرقة بيانات المستخدم الحساسة.

في نفس الوقت تقريبًا ، تعرضت شبكة توصيل المحتوى Cloudflare لنفس حملة التصيد الاحتيالي. بينما تم خداع ثلاثة موظفين لإدخال بيانات اعتمادهم في بوابة Cloudflare المزيفة ، فشل الهجوم لسبب واحد بسيط: بدلاً من الاعتماد على OTPs لـ 2FA ، استخدمت الشركة FIDO.

لكي نكون منصفين لـ Reddit ، لا يوجد نقص في المنظمات التي تعتمد على 2FA المعرضة للتصيد الاحتيالي للاعتماد. ولكن كما لوحظ بالفعل ، كان Reddit يسير في هذا الطريق من قبل. تعهدت الشركة بالتعلم من اقتحام 2018 ، لكن من الواضح أنها استخلصت الدرس الخطأ. الدرس الصحيح هو: FIDO 2FA محصن ضد التصيد الاحتيالي. OTPs وعمليات الدفع ليست كذلك.

لم يرد ممثلو Reddit على رسالة بريد إلكتروني تطلب تعليقًا على هذا المنشور.

الأشخاص الذين يحاولون تحديد الخدمة التي يجب استخدامها ويتم الحكم عليهم من قبل فرق المبيعات أو الإعلانات من عدة مزودين منافسين ، من الأفضل أن يسألوا ما إذا كانت أنظمة المصادقة الثنائية (2FA) الخاصة بالمزود متوافقة مع FIDO. مع تساوي كل شيء آخر ، فإن المزود الذي يستخدم FIDO لمنع اختراق الشبكة هو الخيار الأفضل.