Reddit setzt Passwörter von 100.000 Nutzern zurück

Reddit hat die Passwörter von rund 100.000 Nutzerkonten zurückgesetzt. Eine „generelle Zunahme“ durch Dritte zu schädlichen und Spam-Zwecken entführter und übernommener Accounts habe ihn zu der Maßnahme gezwungen, teilt der Social News Aggregator mit.

In einem Blogbeitrag erklärt Reddit-Entwickler „KeyserSosa“ alias Christopher Slowe, dass die steigende Zahl übernommener Konten wahrscheinlich eine Folge der jüngsten Veröffentlichungen von Zugangsdaten seien. Beispielsweise wurde im Dark Web kürzlich eine Datenbank mit 117 Millionen LinkedIn-Anmeldedaten angeboten, die wahrscheinlich 2012 gestohlen wurden. Mit juristischen Drohungen setzte das Business-Netzwerk durch, dass die Hacker-Datenbank LeakedSource keine Suche mehr nach LinkedIn-Nutzerdaten ermöglicht.

Reddit selbst wurde nach eigenen Angaben nicht gehackt. Die aktuellen Probleme seien stattdessen auf solche Zugangsdaten-Veröffentlichungen, die Wahl schwacher Passwörter oder die Verwendung derselben Anmeldedaten für mehrere Websites zurückzuführen.

„Wir haben unsere Prüfprozesse für übernommene Konten verbessert und in den vergangenen zwei Wochen 100.000 Mitteilungen über Passwort-Resets verschickt“, schreibt Slowe. „Weitere werden folgen, während wir weiterhin überprüfen, dass niemand außer Euch Euer Konto benutzt.“

Empfängern einer solchen Rücksetzungsmitteilung empfiehlt Slowe, ein starkes, einzigartiges Passwort zu wählen und die Anmeldedaten ausschließlich für Reddit zu verwenden. Nutzer sollten außerdem eine E-Mail-Adresse hinterlegen und verifizieren lassen. Diese wird zwar nicht zur Anmeldung benötigt, erlaubt im Fall einer Übernahme durch Dritte aber die Rücksetzung des Accounts.

Über die Infoseite zu Kontoaktivitäten können Anwender darüber hinaus verdächtige Aktivitäten erkennen, die auf eine Kompromittierung des Kontos hinweisen. Beispielsweise lässt sich einsehen, von wo die Anmeldung erfolgte.

Um weniger Angriffsfläche zu bieten, will Reddit zudem gegen das Problem der Wegwerfkonten vorgehen. Auch wenn grundsätzlich nichts gegen solche Accounts spricht, finden sich diese „tonnenweise“ bei Reddit. Sie wurden oft noch nie zum Posten oder Abstimmen genutzt und die letzte Anmeldung damit liegt häufig Jahre zurück. Inhaber dieser Wegwerfkonten sollen ebenfalls eine Passwort-Reset-Mitteilung erhalten. Melden sie sich damit nicht innerhalb eines Monats bei Reddit an, werden die Accounts gelöscht.
„Wenn übernommene Accounts ein Buschfeuer sind, sind aufgegebene, unbenutze Konten trockenes Zunderholz“, kommentiert Slowe.

Der Reddit-Entwickler deutet in seinem Blogbeitrag auch an, dass man zur Absicherung von Konten eine Zwei-Faktor-Authentifizierung unterhalb der Administratorebene erwäge. Probleme bei der Integration mit Apps und verschiedenen Clients stellen ihm zufolge aber eine große Herausforderung dar.

[mit Material von Charlie Osborne, ZDNet.com]