Reddit, a popular plataforma de mídia social com mais de 50 milhões de usuários diários, confirmou um ataque de phishing que levou ao acesso não autorizado de documentos internos e código-fonte.
Um invasor desconhecido enviou”avisos plausíveis”aos funcionários do Reddit em 5 de fevereiro, redirecionando eles para um site falso semelhante ao portal de intranet do Reddit, em uma tentativa de roubar credenciais de login e tokens de autenticação de dois fatores, de acordo com o Reddit CTO Christopher Slowe, também conhecido como KeyserSosa. Slowe acrescentou que tentativas de phishing semelhantes foram relatadas recentemente e comparou a violação do Reddit ao recente hack da Riot Games.
Atacantes Obtenha acesso a documentos internos
As credenciais de um funcionário foram obtidas com sucesso, concedendo os invasores acessam documentos internos, código-fonte, sistemas de negócios e painéis internos. A violação foi descoberta depois que o funcionário afetado relatou o incidente à equipe de segurança do Reddit, que imediatamente cortou o acesso dos hackers e iniciou uma investigação interna.
Embora os hackers tenham acessado informações de contato de funcionários e ex-funcionários atuais e algumas informações de anunciantes, o Reddit não encontrou nenhuma evidência de roubo, publicação ou distribuição de dados pessoais de usuários ou outras informações confidenciais.
Reddit para usuários: use autenticação de dois fatores
Em resposta à violação, o Reddit recomenda que todos os usuários configurem a autenticação de dois fatores em seus contas e usar um gerenciador de senhas para maior segurança.
“Continuamos investigando e monitorando a situação de perto e trabalhando com nossos funcionários para fortalecer nossas habilidades de segurança”, disse Slowe.”Como todos sabemos, os humanos geralmente são a parte mais fraca do ch de segurança ain.”
Esta não é a primeira vez que o Reddit enfrenta uma violação de dados. Em 2018, uma cópia completa dos dados do Reddit de 2007, incluindo nomes de usuários, senhas com hash, e-mails, postagens públicas e mensagens privadas, foi acessada sem autorização.
