TL;DR: 10 Jahre altes Konto trotz 2FA + ultrasicherem Passwort gehackt. Reddit hat mich zuerst gesperrt und mich dann ohne Erklärung erneut gesperrt. Der wahrscheinliche Ursprung: Diebstahl von Sitzungscookies über eine bösartige Browsererweiterung. Prüfen Sie jetzt Ihre Erweiterungen!
Mein Profil
- 10-Jahres-Konto (185.000 Karma, 3.013 Beiträge, 0 Berichte in 10 Jahren)
- 2FA aktiviert über Aegis Authenticator (generiert jede Minute Authentifizierungscodes)
- Ultrastarkes, einzigartiges Passwort, generiert von Firefox (selbst durch 2FA geschützt)
- Antivirus + Firewall
Was ist passiert
Nacht vom 2. auf den 3. Oktober: Mein Konto veröffentlicht Beiträge "pornos" um 2 Uhr morgens von amerikanischen IPs.
3. Oktober, 9 Uhr: Ich habe den Hack entdeckt, mein Passwort geändert, die Beiträge gelöscht und Reddit mit Beweisen kontaktiert (US-IP-Protokolle im Vergleich zu meinen festen FR-Verbindungen seit 5 Jahren).
3. Oktober, 14:30 Uhr: Vorübergehendes Verbot für "Wahlmanipulation" auf betrügerische Beiträge.
3. Oktober, 18:51 Uhr: Dauerhaftes Verbot ohne Begründung.
4. Oktober: Anruf abgelehnt in 8 Minuten.
6. Oktober: Konto ohne Begründung reaktiviert.
Ein paar Tage später wurde auch mein Amazon-Konto kompromittiert.
Wie ist das trotz 2FA möglich?
Nachdem ich gepostet habe, was mir passiert ist HackerNewsdie wahrscheinliche Antwort der Experten: Diebstahl von Sitzungscookies über eine bösartige Browsererweiterung. Mit Ihren Cookies kann sich ein Angreifer bei Ihren Konten anmelden, ohne jemals Ihr Passwort oder 2FA zu benötigen.
Ich veröffentliche erst jetzt, weil Untersuchung, die Koi Security vorgestern veröffentlicht hat hat mir das Ausmaß des Problems klar gemacht. ShadyPandaein böswilliger Akteur, der seit 7 Jahren aktiv ist, infiziert 4,3 Millionen Browser über scheinbar legitime Chrome- und Edge-Erweiterungen.
Ihre Arbeitsweise:
- Phase 1: Erstellen Sie legitime Erweiterungen (Hintergrundbilder, Produktivität usw.)
- Phase 2: Sammeln Sie Benutzer und erhalten Sie Abzeichen "Hervorgehoben" et "Verifiziert" das Google/Microsoft
- Phase 3: Nach Jahren des Normalbetriebs wird ein bösartiges Update übertragen
Sie stehlen: jede besuchte URL, den vollständigen Verlauf, Suchanfragen, Cookies und können sogar beliebigen Code aus der Ferne ausführen.
Auch heute noch 5 Erweiterungen mit 4 Millionen Nutzern sind noch aktiv im Store.
Einige Tipps, um zu verhindern, dass Ihnen das passiert
Generell gilt: Je weniger Erweiterungen Sie installiert haben, desto besser. Deinstallieren Sie diejenigen, die Sie nicht mehr verwenden.
Vor der Installation einer Erweiterung:
- Vorsicht vor Abzeichen "Verifiziert" – ShadyPanda beweist, dass es keine Garantie gibt
- Lesen Sie die angeforderten Berechtigungen – Eine Wallpaper-Erweiterung benötigt keinen Zugriff auf "alle Ihre Websites"
- Suchen Sie nach dem Namen des Herausgebers – Ein unbekannter Herausgeber oder einer mit einem generischen Namen ist ein Warnsignal
- Bevorzugen Sie Open-Source-Erweiterungen — Der Code kann von der Community geprüft werden
Zur Schadensbegrenzung:
- Verbindungswarnungen aktivieren wenn möglich
- Verwenden Sie separate Browserprofile für Ihre sensiblen Aktivitäten (Banking, Einkaufen)
2FA und ein gutes Passwort reichen nicht mehr aus. Wenn eine bösartige Erweiterung Zugriff auf Ihre Cookies hat, sind Sie fertig. Prüfen Sie jetzt Ihre Erweiterungen!
Bearbeiten: Welche Erweiterungen vermute ich in meinem Fall?
Das konnte ich nie mit Sicherheit bestätigen, da ich regelmäßig 4 verschiedene PCs nutze (Arbeit/Zuhause/Reisen). Alle 4 mit Firefox, aber jeweils mit unterschiedlichen Erweiterungen. Ich schätze, es war eine dieser Erweiterungen, die YouTube verbessert (Schnittstelle oder Force-Videos in VO statt mit ihrer schrecklichen KI-Synchronisation).
Mon compte Reddit a été piraté malgré la 2FA — et je pense avoir compris comment
byu/guilamu infrance
Von guilamu
46 Kommentare
Merci !
Je viens de cleaner mes extensions que je n’utilise plus.
Content de voir que tu ai pu récuperer ton compte, welcome back !
On dirait un poste chatGPT..
Compte call of bannis après avoir été piraté avec a2f . J’etais complètement fou
merci pour tous ces conseils. Je viens de faire le ménage dans mes extensions
en général, je n’installe aucune extension si je vois qu’elle n’est pas „populaire“, ça m’évite d’installer n’importe quoi. ici, ça prouve que je me serais infecté quand même.
et du coup, tu as fait comment pour être réactivé par reddit?
C’est curieux quand même pour un site d’accepter un même cookie de session sur 2 adresses IP différentes qui plus est à des millers de km.
Très intéressant OP merci.
Question est-ce que les authentifications « Se connecter via » Google/Apple/etc. permettent de se protéger de cette technique ?
Ca me fait penser à l’infection assez „simple“ de VSCode. Publication d’une extension toute bête genre un thème, accumulation des utilisateurs, gain d’autorisation et pouf, l’auteur a accès à des milliers de codes produit par ses utilisateurs tout en contournant n’importe quelle protection.
Finalement c’est un peu comme les VPN. Moralité, ne jamais garder les sessions ouvertes sur votre PC.8 Et vérifier vos extensions tout en installant le minimum nécessaire avec le minimum d’autorisations.
Par curiosité, et dans un but préventif uniquement, tu as gardé les photos publiées par le malandrin ?
Merci pour l’info. Et aussi une mesure toute simple: se déconnecter proprement après avoir terminé votre activité. Cela permet d’invalider le cookie de session
Par curiosité, quelle était l’extension en question ? Tu le sais ?
Pourquoi ne pas donner les noms des extensions directement
Merci pour ces rappels d’hygiènes numériques !
> Phase 3 : Après des années de fonctionnement normal, pousser une mise à jour malveillante
Je fais aucune MAJ, mes extensions sont open source & je check qu’elles sont fiables autant que je peux. Mais même avec ça le risque 0 existe pas, les extensions c’est vraiment une grosse menace pour les données de la majorité des personnes. Les extensions les plus populaires peuvent avoir des grosses offres d’achat venant d’entreprises qui veulent récupérer ces données (j’avais vu des chiffres à 30 centimes par utilisateur, si t’as 500k utilisateurs tout le monde est pas en position de refuser). L’Open Source est une forme de protection à condition de se taper les lignes de codes pour vraiment vérifier que les données vont pas n’importe où (et idéalement qu’elles vont nulle part).
Bref privilégiez moins d’extensions, prenez les sur github, et des extensions pas trop complexes (ils doivent pas pouvoir cacher un virus dans le code).
C’est un problème pour toutes les extensions de tous les logiciels, même les mods de jeux ont ce soucis. Idéalement faudrait pouvoir bloquer l’accès à internet aux extensions qui n’en ont pas besoin, et/ou n’autoriser que des extensions open sources et vérifier leur code, avec signature par des organismes fiables, et sans MAJ non signées. Mais ça complexifie tout et c’est peu compatible avec le modèle économique actuel des extensions.
Merci pour ça OP
Allez OP, tu publies du porn et tu t’es fait choper par ton/ta SO et tu cherches à justifier on a compris.
Vol de cookies ..
Merci pour ce rappel. Les extensions web sont une porte d’entrée (ou de sortie) dévastatrice.
Les extensions sont une possibilité parmi tant d’autres ! Une fois un PC infecté il a toujours été facile de récupérer les cookies pour contourner le 2FA ou même se connecter sans connaître le mdp. C’est pour cela que par exemple Steam ou les banques ont mis en place des solutions pour corriger ce problème en demandant un code à chaque connexion.
Est-ce que désactiver les mises à jour automatiques des extensions peut suffire à éviter ça ?
Merci pour ce poste et bon retour !!! Il faut vraiment faire attention à tout et bien surveiller… Le ban définitif et l’appel refusé malgré un contact initié par toi et des screens ça fait un peu peur, même si j’entends que ça n’est pas forcément une preuve et que reddit doit protéger ses utilisateurs (l’opposé de Discord où des comptes piratés restent actif et volent des données même après des signalement par le formulaire/les connexions illicites/les posts détaillant la situation et messages envoyés sur toutes les plates-formes du support)
Recemment j’ai installe une extension adblocker et j’ai remarque que mon chrome arretait pas de freeze . Je l’ai desinstalle et je n’ai plus ce probleme . J’espere que c’etait une des ces fameuses extensions malveillantes . Merci pour l’info !
Thumbs up. Merci pour cet avertissement.
Salut ! Par rapport à la raison pou les posts porno, tu penses que c’est une forme de troll ou une promotion de trucs payants pour se faire des sous ?
Et dans ton cas, tu soupçonnes quelles extensions ?
Si tu te delog pas, la 2FA est pas très utile (comme t’as pu le voir).
C’est pour ça que les banques et autres sites sérieux vous delog au bout de 10 minutes.
(Et je suis daccord avec toi, Reddit aurait dû lever un sourcil en voyant ta session depuis les US)
C’était pas la chaine de Wankil Studio qui s’était fait hack de la même manière ? C’est ouf de se dire qu’ils peuvent pirater sans avoir le mdp
Ouaip, c’est un truc qui se fait pas mal en ce moment. Des cookie lié au device sont en train d’être mis en place pour palier à ça (lentement mais sûrement…)
Franchement je conseil au gens d’avoir plusieurs profile pour leurs navigateur. Avec tous le temps : ublock and https everywhere. Ensuite tu fais un profile pour ce qui est du perso avec des compte mail, reddit, RS. Pas de merdouille dessus (pas d’extension fantaisiste etc) Un profile pour les truc de streaming Netflix canal+ YT, etc (ils rajoutes des plug-in lié au drm pas cool donc tu peux déjà considérer que ce profil est „compromis“) sur lui tu peux mettre tes extensions x y z. Ne jamais mettre à jour les extensions (oui oui vous avez bien entendu)
Bref plusieurs profile ca sert à ça. Un profile pour tout c’est la cata (vous pouvez même faire des raccourci avec une icône custom sur chaque profil pour accès rapide et même customiser le thème de chaque profile comme ça on se trompe pas, profile theme rouge = attention important, bleu=fait dla merde si tu veux osef)
Et oui, une bonne vieille attaque MITM (https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu). Le coup de l’extension est pas mal, mais pour le vol de jeton de session, on rencontre plus fréquemment un site frauduleux qui affiche le vrai dans une iframe. C’est totalement transparent et la victime ne se rend compte de rien puisqu’elle se connecte sur le site authentique.
Avec les fuites de données des différents FAI, France Travail, etc, c’est très simple de faire un email convaincant avec un lien vers un domaine voisin (ex [francetravaille.fr](http://francetravaille.fr) au lieu de francetravail) qui affichera du coup le véritable francetravail.fr.
Je n’utilise aucune extension
Récemment, un faux uBlock Origin est apparu sur le store Edge ou Chrome.
L’extension a déjà été signalée à l’équipe de l’extension légitime, mais Edge/Chrome n’ont pas fait grand chose, en tout cas hier.
Il y a eu tentative de connexion sur mon ancien compte. Ils m’ont demandé de refaire mon mot de passe. Le mail qui avait créé le compte était sur hotmail et a disparu. Pas possible de changer le mail. Donc compte bloqué.
J’avais pas mal de karma et surtout il était vieux donc je l’aimais bien (2009 je crois).
Je reste toujours triste…
Je me suis aussi fait poutré mon compte Reddit il y a un mois environ. Mêmes tripotée de posts de cochonneries.
J’ai mis ça sur le compte d’une fuite de mdp mais maintenant tu me mets le doute.
Je vais Check mes extensions.
Et genre ca sert a quoi un compte redit genre cest cool d’en avoir un ancien perso rien a foutre
Cette technique a été documentée par l’ANSSI dès 2022, j’en avais [un article sur mon blog](https://0x42.info/piratage-vol-de-cookies/). Sauf qu’à cette « époque » la technique de passer par les extensions n’était pas encore connue, les pirates se servaient surtout de sites web vérolés avec l’espoir que les visiteurs acceptent les cookies, mais aussi eux-mêmes vérolés pour aller fouiller dans les autres.
Selon ta description, c’est peut-être à la même époque qu’ils auraient mis en ligne leurs extensions (pour les plus malins et patients) et ont attendu d’avoir un paquet d’utilisateurs et bonnes notes pour déclencher le piratage à grande échelle.
Oui, c’est aussi comme ca qu’on peut pirater n’importe quel compte sur un site internet, c’est un vecteur d’attaque connu, que les entreprises traînent a endiguer.
On peut par exemple voler des cookies Google juste avec une pièce jointe dans Gmail, et Google n’as toujours pas corrigé ça.
Les extensions c’est bien mais pas suffisant. C’est extrêmement chiant mais une solution radicale serait d’activer la suppression automatique des cookies a la fermeture de son navigateur, il me semble que la plupart l’ont.
Tu soupçonne des extensions en particulier ?
Plus largement, quelles sont les extensions soupçonnées ?
AI slop ☝️
Merci 🙏🙏🙏🙏🙏
Il y a aussi le cas d’extensions populaires et sérieuses qui finissent par être revendues car leur mainteneur veut passer à autre chose tout en palpant un peu et ceux qui mettent le pognon le font rarement par altruisme. Ne pas hésiter à suivre le développement des extensions via les dépôts github ou les blogs/forums
J’ai zéro extensions pour cette raison sur mon browser “important”. L’autre browser est lancé avec runas.. avec un autre compte qui n’a que le droit d’écrire sur un folder et de lire les folders systems.
Quand tu mets à jour l’extension, elle va demander de nouvelles permissions et ça va te demander d’accepter, non, j’imagine ? C’est quelle permission qui permet d’avoir accès aux cookies, et est ce qu’il est possible de dire de ne jamais autoriser ça ?
Ah oui c’est chaud à ce niveau. Ce que je comprends pas par contre c’est d’arriver a un niveau hyper élevé de piratage avec des accès du coup à des centaines de compte et possiblement du coup des CB enregistrés comme Amazon comme tu cites. Pour finalement poster des redirections porn que ton reddit il y a quelque chose qui cloche …. C’est un peu comme si le mec il arrive a pénétrer les coffres de la banque de France avec tous les lingots et qu’il se fait choper en train de tirer la chaise du bureau.
Merci
Je viens de clean mes extensions merci pour l’info et le partage des liens dans ton message
Bonne soirée
Si je ne dis pas de bêtises, c’est comme ça que Linus Tech Tips et bien d’autres se retrouvent avec leur chaine Youtube qui font de live de cryptos avec Elon Musk…
OP, ta communication est claire et précise. C’est ce type de communication qui se fait dans les milieux pro suite à un incident de sécurité.
Je te dis bravo non pas pour ce que tu as vécu mais ce que tu vas permettre aux autres d’éviter.
Je préciserai quelque chose, ayant moi même travaillé dans le milieux des web extensions: si le navigateur est une des choses les mieux [testées au monde](https://web-platform-tests.org/) il n’en est rien des extensions. Presumez le pire et considérez la réputation du fabricant de l’extension.
Si une extension se met à demander des permissions additionnelles, refusez systématiquement sauf si vous êtes convaincu qu’elle en a besoin.
>Aujourd’hui encore, 5 extensions avec 4 millions d’utilisateurs sont encore actives sur le Store
Euh d’accord on parle de quelles extensions? Je comprends pas comment tu peux dire 5 extensions mais sans connaître lesquelles…