Reddit räumt Datenverlust nach Hackerangriff ein

Reddit meldet einen Hackerangriff, der zum Verlust von Nutzerdaten geführt hat. Unbekannte hatten vom 14. bis 18. Juni Zugriff auf verschiedene Systeme des Unternehmens, das seit 19. Juni von dem Einbruch weiß. Die späte Offenlegung des Vorfalls begründet Reddit mit der noch laufenden Untersuchung.

„Nun, da wir unsere Untersuchung ausreichend abgeschlossen haben, um die Auswirkungen zu verstehen, möchten wir Ihnen mitteilen, was wir wissen, wie es sich auf Sie auswirken kann und was wir getan haben, um uns und Sie in Zukunft vor solchen Angriffen zu schützen“, teilt Reddit nun mit. „Obwohl dies ein schwerer Angriff war, erhielt der Angreifer keinen Schreibzugriff auf Reddit-Systeme, sondern nur Lesezugriff auf einige Systeme, die Backup-Daten, Quellcode und andere Protokolle enthielten.“

Lesen konnten die Angreifer unter anderem ein vollständiges Backup der Reddit-Datenbank aus dem Jahr 2007. Es enthält alle Daten von Nutzern seit dem Start des Social-News-Aggregators im Jahr 2005, darunter Nutzernamen, per Salt and Hash geschützte Passwörter, E-Mail-Adressen und alle von Nutzern veröffentlichte Inhalte, darunter auch private Nachrichten. Betroffen sind also nur Nutzer, die sich bis einschließlich 2007 bei Reddit angemeldet haben – diese Nutzer informiert Reddit nun per Direktnachricht oder E-Mail über den Datenverlust.

Darüber hinaus sollen die unbekannten Täter Log-Dateien des Reddit E-Mail Digest abgegriffen haben. Hier sind Nutzer betroffen, die den Newsletter in der Zeit von 3. bis 17. Juni erhalten haben. Die Log-Dateien enthalten laut Reddit den Inhalt der Digest-E-Mail, die wiederum Beiträge aus verschiedenen Subreddits vorschlägt, die ein Nutzer abonniert hat.

Die Hacker hatten aber auch Lesezugriff auf Storage Systeme von Reddit. Dort befanden sich der Ankündigung zufolge unter anderem Quellcode von Reddit, nicht näher beschriebene interne Logs, Konfigurationsdateien und andere Dateien von Mitarbeitern, zu denen Reddit ebenfalls keine Angaben machte. In Einzelfällen könnten diese Dateien offenbar auch Nutzerdaten enthalten.

Die Hacker nutzen Schwächen in der Zwei-Faktor-Authentifizierung

Wie genau die Angreifer in die Systeme von Reddit eindringen konnten, ist wohl noch nicht klar. Die wichtigsten Zugangspunkte zur Infrastruktur waren laut Reddit zum Zeitpunkt des Angriffs bereits mit einer Anmeldung in zwei Schritten geschützt. Reddit vermutet jedoch, dass Schwächen in der SMS basierten Zwei-Faktor-Authentifizierung die eigentliche Ursache für den Vorfall sind. Als Folge setzt Reddit nun ausschließlich auf Sicherheitstoken als zweites Anmeldemerkmal.

Betroffene Nutzer fordert Reddit indes auf, zu prüfen, ob sie ihr Passwort auch für andere Seiten verwendet haben – und es dort zu ändern. Reddit-Kennwörter von Betroffenen, die seit 2007 nicht geändert wurden, setzt das Unternehmen zudem automatisch zurück.

Ein Datenverlust von Reddit könnte für einige Nutzer besonders heikel sein. Die Plattform gilt als „Spielwiese“ für unterschiedlichste Interessengebiete, bis hin zu solchen Themen, die als kontrovers, fragwürdig oder gar illegal gelten. „Wenn Ihre E-Mail-Adresse betroffen war, denken Sie darüber nach, ob es in Ihrem Reddit-Konto etwas gibt, das Sie nicht mit dieser Adresse in Verbindung bringen möchten. Auf dieser Hilfeseite finden Sie Anweisungen, wie Sie Informationen aus Ihrem Konto entfernen können“, rät Reddit.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

7 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

11 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

12 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

12 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

12 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

14 Stunden ago