Reddit员工账号遭骇，疑似是基于简讯的双因素验证惹的祸

社交新闻网站Reddit本周坦承遭到骇客入侵，骇客取得了几名Reddit员工登入云端及源代码代管服务供应商的凭证，进而存取了该站在2007年的数据库备份。引起关注的是，骇客的主要攻击管道是拦截了员工的简讯，破解了相关登入系统的双因素验证机制。

Reddit说明，骇客是在今年6月14日与18日之间入侵了几名员工登入该站的云端与源代码代管服务供应商的凭证，尽管这些服务的登入都要求双因素验证，但Reddit却发现基于简讯（SMS）的验证机制并不如预期中的安全且主要的攻击是拦截了员工的简讯，因而提醒所有人最好都改采基于认证载具（Token）的双因素验证机制（Two Factor Authentication，2FA）。

在这次的资料外泄事件中，骇客存取了Reddit存放备份资料、源代码与其它纪录的系统，但未取得Reddit系统的写入权限。与用户有关的资料之一是该站在2007年的备份数据库，内含自2005年至2007年的所有Reddit用户资料，包括使用者名称、加盬的杂凑密码（Salted Hashes）、电子邮件位址，以及所张贴的内容。其次则是Reddit在今年6月3日到17日之间寄给用户的内容摘要电子邮件，曝光的则是用户的使用者名称与电子邮件位址。

因此，在2007年之后才成为Reddit会员，而且也未订阅Reddit内容摘要的用户将完全不受此一资料外泄事件的影响。

除了用户的资料外，Reddit的源代码、内部纪录、配置档案与其它的工作文件都遭到骇客存取。Reddit已经锁住并更换所有的机密与API金钥，也已强化登入与监控系统。

目前Reddit已与执法机关合作展开调查，也通知受影响的用户变更密码，由于怀疑基于简讯的双因素验证是造成此一意外的主因，已强制要求员工采用基于Token的双因素验证。

采用密码+简讯的双因素验证因为相对方便，因此成为不少使用者的2FA首选，但骇客却可借由劫持他人SIM卡以拦截通讯内容，继之取得使用者的凭证。美国国家标准技术研究所（NIST）早在2016年发表的《数位身份认证指南》（Digital Authentication Guideline）中，就不再建议采用基于简讯或电话语音的双因素验证方式；脸书旗下的Instagram也正在开发非简讯的双因素认证服务；日前美国警方则逮捕了一名透过SIM卡劫持，盗领价值数百万美元加密货币的20岁大学生，再加上Reddit的意外，在在都显示出SIM卡劫持与简讯验证的安全风险已日趋严重。