Hack de Reddit : Vol de documents et code source exhibé
- , le 12 février 2023
- 17 h 11 min
Reddit victime d’un hack à cause d’un fishing. Les rapports indiquent que les attaquants ont eu accès à certains systèmes d’entreprise internes, au code et à la documentation.
Le phishing est un fléau qui continue de faire des ravages. Le pirate se fait passer pour un organisme que vous connaissez afin de ne pas éveiller les soupçons. Il vous demande alors de mettre à jour certaines informations (identifiants bancaires, mot de passe, etc). Si vous vous exécutez naïvement, le piège se refermera ensuite sur vous.
Dans le but d’acquérir des informations d’identification et des jetons à deux facteurs, l’attaquant, comme dans d’autres attaques de phishing, a envoyé des invitations crédibles dirigeant les employés vers un site web qui imitait le comportement de la passerelle intranet de chez Reddit.
Le 5 février 2023, tard le soir), Reddit a découvert une campagne de phishing très sophistiquée visant ses employés.
Après avoir obtenu les informations d’identification d’un seul employé, l’attaquant a eu accès aux documents internes de l’entreprise, à son code source, ainsi qu’à certains tableaux de bord et systèmes d’entreprise.
« Nous n’avons constaté aucune indication d’une violation de nos systèmes de production principaux (les parties de notre pile qui exécutent Reddit et stockent la majorité de nos données) », explique Reddit.
Des entreprises travaillant avec Reddit ont vu leurs données exposée.
« Nous n’avons aucune preuve suggérant que de vos données privées puissent avoir été consultées ou que des informations de Reddit ont été publiées ou distribuées en ligne », selon Reddit.
Il est à noter que Reddit mentionne que l’employé impacté a immédiatement signalé qu’il avait été victime d’un phishing, et que l’équipe de sécurité a rapidement pris des mesures en bloquant l’accès de l’intrus et en entamant une enquête interne.
Sans mentionner de noms, la société a déclaré: « Des attaques de phishing similaires ont récemment été signalées ». Elle n’a pas fait mention du code source qui a été consulté suite à la violation de sécurité.
« Nous continuons à enquêter et à surveiller attentivement la situation et à travailler avec nos employés pour renforcer nos compétences en matière de sécurité ».
« Comme nous le savons tous, l’être humain est souvent le maillon le plus faible de la chaîne de sécurité », a déclaré Reddit.
Comment protéger votre compte?
La mise en place de l’authentification à double facteur ajoutera un degré supplémentaire de sécurité à l’accès à votre compte Reddit. Changer votre mot de passe régulièrement est une bonne idée; assurez-vous simplement qu’il soit fort et distinct pour une sécurité maximale. Faites usage d’un gestionnaire de mots de passe ! Ils offrent non seulement des mots de passe fantastiquement complexes, mais ajoutent également une couche supplémentaire de sécurité en vous alertant avant d’entrer votre mot de passe sur un site de phishing.
