Reddit ha appena rivelato che hanno subito una violazione della sicurezza a causa di un SMS 2FA intercettato. Un altro post su SMS 2FA fa riferimento a difetti nel protocollo ss7 della telecom utilizzato per eseguire la violazione.
Non sono sicuro che l'incidente di Reddit abbia coinvolto la tecnica ss7 o qualche tipo di spear phishing per ottenere un codice malevolo installato sul dispositivo che ha ricevuto l'SMS. Tuttavia, se fosse stata utilizzata un'intercettazione, mi sarei aspettato che il dispositivo originale avesse ricevuto il messaggio e il proprietario si rendesse conto di non averlo richiesto e avvisato il team di sicurezza dell'azienda. Detto questo, gli hacker sarebbero stati in grado di bloccare il dispositivo legittimo dall'ottenere la loro richiesta per un SMS 2FA o avrebbero dovuto aspettare che il target ne richiedesse uno e provare a batterli per il login?