De Amerikaanse sociale nieuws- en entertainmentwebsite Reddit is gehackt. De aanvaller heeft toegang tot accounts van medewerkers verkregen via een zogeheten tweestapsverificatie, waar naast een traditionele wachtwoordaanmelding ook een eenmalige inlogcode per sms wordt verstuurd. Het internetplatform Reddit kent maandelijks ruim 240 miljoenen gebruikers, waarvan ruim 1,2 miljoen de Nederlandse- en 66.000 de Belgische versie bezoeken.
Volgens Reddit, die de aanval op 19 juni ontdekte, zijn er tussen 14 en 18 juni accountgegevens, e-mailadressen en een beperkt aantal privéberichten gehackt bij de cloud- en broncode-hostingproviders van het internetplatform. Het betreft gegevens uit de periode 2005, toen de site werd opgericht, en 2007. Naast dat ook tussen 3 juni en 17 juni gebruikersnamen en bijbehorende e-mailadressen zijn gehackt van lezers die hebben aangegeven automatisch gegenereerde emails te willen ontvangen.
‘We zijn erachter gekomen dat sms-authenticatie lang niet zo veilig is als we hoopten, de belangrijkste aanval was via sms-onderschepping. We moedigen iedereen hier aan om naar token-gebaseerde tweestapsverificatie te gaan’, schrijft Reddit, die laat weten dat de de persoon die achter de aanval zit gegevens alleen heeft kunnen lezen en niet bewerken. Over het aantal gebruikers en medewerkers dat is getroffen, laat het bedrijf zich niet uit. Wel worden gedupeerden per e-mail op de hoogte gesteld. Reddit heeft inmiddels aangifte gedaan en onderzoekt wat er verbeterd kan worden om een hack in de toekomst te voorkomen.