redditの従業員のアカウントが乗っ取られたらしいです。
6月14日~18日にかけて、redditの従業員が使っていたクラウドプロバイダーやソースコードホスティングプロバイダーのアカウントが不正に侵入されてました。
不正侵入の方法は二段階認証で使われているSMSインターセプト。
SMSインターセプトとは、ショートメッセージを盗み読む事。
二段階認証では登録済みのスマートフォンに一時的な認証コードが送信されます。
そのコードを入力することでログインできる仕組みです。
redditの従業員は一時コードを読み取られてしまいました。
米国立標準技術研究所(NIST)は2016年に二段階認証の危険性を警告しています。
NISTが警告、SMSでの二段階認証が危険な理由
想像ですが、従業員のスマホにSMSを読み取る権限のあるアプリが入っていたら、
そのアプリが一時コードも読み取ってしまったのかもしれません。
例えインストール時には権限がなかったとしても、
バージョンアップで新しい権限が付与される事もあります。
その場合はよく確認せずに更新してしまい、権限が付与されたと気付かないまま使い続けてしまいます。
reddit側は二要素認証への切り替えを促しているそうです。
なぜ強制・義務づけじゃないんですかね……。
ちなみに二要素認証とはトークンに表示されるコードを追加入力する認証方法。
今では日本でもソニー銀行やジャパンネット銀行が採用しています。
にほんブログ村
Tweet
この記事のショートリンク
コメントを残す