El día de ayer, Reddit publicó un anuncio muy preocupante en la página principal de la plataforma. Una brecha de seguridad fue descubierta, la cual puso en riesgo la información de algunos usuarios. De acuerdo a la publicación, un hacker logró obtener acceso a una base de datos del año 2007 de la cual pudo obtener correos electrónicos y contraseñas encriptadas.
PUBLICIDAD
Según lo encontrado, son las cuentas de usuarios que se registraron hace más de 11 años a Reddit las que sufrieron más daño, pues la base de datos que fue hackeada contenía información solo de los usuarios registrados hasta entonces. Sin embargo, recomiendan que todos los usuarios cambien sus contraseñas, puesto que aquellos con un registro más reciente también pudieron haber sido afectados.
Reddit sugiere también activar la verificación en dos pasos para el acceso a sus cuentas, pero advierten que la mejor opción para esta función es utilizar los servicios de Authy y Google Authenticator. Parece ser que el hacker obtuvo acceso a los sistemas de la plataforma social tras interceptar mensajes SMS que eran utilizados como el método de autenticación.
Sistemas de seguridad fallan en Reddit
El hacker tuvo acceso a información importante de los usuarios, puesto que Reddit no logró percatarse de la brecha de seguridad hasta el 19 de Junio. Fue entonces que se dieron cuenta que el atacante accedió a cuentas de empleados de la plataforma usando el mismo método, interceptando los SMS de verificación de dos pasos. Así, tuvo acceso a listas de correos electrónicos que Reddit utiliza para sus boletines mensuales, y acceso a más información personal de usuarios y de la misma página.
Tras esta terrible situación, se confirman los miedos que otras empresas ya habían demostrado: el uso de mensajes SMS para verificación en dos pasos es un riesgo muy alto. Ya se han reportado casos en que otros hackers han logrado robar líneas telefónicas y transfiriendo a otras tarjetas SIM, con la cual tienen acceso a información personal y muy sensible del dueño de estas líneas.
Es cuestión de tiempo para que el uso de esta clase de mensajes sea completamente abandonado. Pero, ¿Es culpa de los sistemas de seguridad de Reddit? ¿O pudo haberse prevenido este ataque?