0
0
O popular site de notícias sociais e fórum Reddit foi violado (novamente) e o invasor “obteve acesso a alguns documentos internos, código, bem como a alguns painéis internos e sistemas de negócios”, mas aparentemente não a sistemas de produção primários e dados do usuário.
Como isso aconteceu e qual é a extensão da violação?
“A exposição incluiu informações de contato limitadas para (atualmente centenas de) contatos e funcionários da empresa (atuais e antigos), bem como informações limitadas do anunciante. Com base em vários dias de investigação inicial por segurança, engenharia e ciência de dados (e amigos!), não temos evidências que sugiram que algum de seus dados não públicos tenha sido acessado ou que as informações do Reddit tenham sido publicadas ou distribuídas online, ” disse o CTO do Reddit, Christopher Slowe, que fica online pelo identificador “KeyserSosa”.
A investigação ainda está em andamento e alguns detalhes ainda não foram confirmados, mas a violação começou como a maioria das violações corporativas fazem hoje em dia: com um ataque de phishing bem-sucedido.
“No final (PST) de 5 de fevereiro de 2023, tomamos conhecimento de uma campanha de phishing sofisticada que visava funcionários do Reddit. Como na maioria das campanhas de phishing, o invasor enviou prompts que pareciam plausíveis, apontando para os funcionários um site que clonava o comportamento de nosso gateway de intranet, na tentativa de roubar credenciais e tokens de segundo fator”, compartilhou Slowe.
“Logo após ser phishing, o funcionário afetado se autodenunciou e a equipe de segurança respondeu rapidamente, removendo o acesso do invasor e iniciando uma investigação interna.”
Todos os funcionários têm autenticação de dois fatores habilitada, tanto para uso no Reddit quanto para todos os acessos internos, acrescentou, mas o invasor conseguiu roubar as credenciais de login do funcionário e outro token de acesso.
Cinco anos atrás, o Reddit foi violado de maneira semelhante. Na época, algumas das contas de seus funcionários com seus provedores de nuvem e hospedagem de código-fonte foram comprometidas, depois que os invasores comprometeram as senhas dos funcionários e interceptaram o segundo fator de autenticação enviado por SMS.
Portanto, talvez este último ataque leve o Reddit a implementar tokens FIDO de hardware (“chaves” físicas), que atualmente é a opção mais segura para o segundo fator de autenticação.
Slowe mencionou que estava grato pelo funcionário ter relatado que havia sofrido phishing quando percebeu o que aconteceu.
O que os usuários devem fazer?
Os dados do usuário não foram acessados, mas os usuários foram aconselhados a ativar o 2FA em sua conta do Reddit (se ainda não o fizeram). A ativação do 2FA pode impedir que sejam afetados por ataques envolvendo sites de phishing realistas .
“E se você quiser dar um passo adiante, é sempre uma boa ideia atualizar sua senha a cada dois meses – apenas certifique-se de que ela seja forte e exclusiva para maior proteção”, acrescentou Stowe.
Os contatos afetados da empresa, funcionários e anunciantes estão sendo contatados.
FONTE: HELPNET SECURITY