L'un des plus grands hubs d'Internet social, Reddit, a annoncé mercredi que des cybercriminels entraient dans son réseau.
Les attaquants ont réussi à accéder à diverses données: une base de données avec des adresses e-mail et
des mots de passe
hachés d'utilisateurs enregistrés de 2005 à 2007, des e-mails d'utilisateurs, des codes source, des fichiers internes et «toutes les données Reddit de 2007». Il est rapporté que l'incident s'est produit entre le 14 et le 18 juin 2018, et une pénétration a été découverte le 19 juin. Les attaquants ont compromis le nombre non divulgué d'employés de Reddit et infiltré «plusieurs systèmes» en accédant aux données.
Illustration par theguardian.comLes représentants de Reddit ont officiellement reconnu le fait de pirater et décrit l'essence de ce qui s'est passé sur
leur blog :
Le 19 juin, nous avons appris qu'un pirate informatique avait compromis plusieurs comptes Reddit avec l'accès au cloud et au code source en interceptant les codes de vérification d'authentification à deux facteurs fournis par SMS
Nous coopérons avec les forces de l'ordre, faisons tout ce qui est nécessaire pour éliminer les conséquences de la situation actuelle et essayons également de faire tout notre possible pour éviter de tels incidents à l'avenir. Seul un petit nombre d'utilisateurs ont été concernés, que nous avons déjà notifiés
Les pirates, en particulier, sont arrivés à la sauvegarde de la base de données, datée de mai 2007. Reddit a été fondée et a commencé à fonctionner en 2005, et cette sauvegarde de la base de données contenait toutes les informations pendant deux ans de fonctionnement du site, y compris tous ses contenus et messages utilisateur (y compris les messages personnels), ainsi que les mots de passe et les sels de hachage hachés qui étaient pertinents au moment de la sauvegarde .
Les représentants de la société affirment que les criminels n'ont pas eu accès en écriture aux serveurs compromis, ce qui signifie qu'ils ne pouvaient modifier aucune donnée importante. Néanmoins, les développeurs ont encore renforcé la sécurité (en particulier, changé les clés API) et la surveillance.
De plus, les pirates ont eu la chance d'accéder à des résumés d'e-mails plus récents envoyés entre le 3 juin et le 17 juin 2018. Ces collections de publications recommandées pour les lecteurs de portail contiennent des informations sur les noms d'utilisateur et leurs adresses e-mail associées.
Échec SMS à deux facteurs
Reddit utilise l'authentification SMS de base à deux facteurs pour protéger ses comptes d'employés en exigeant un mot de passe à usage unique ainsi qu'un nom d'utilisateur et un mot de passe.
Cependant, selon Reddit, ce sont ces messages texte que les pirates ont interceptés
Keith Graham, directeur technique
de SecureAuth + Core Security , a commenté la situation
du Guardian : «Bien que l'authentification par SMS soit populaire et beaucoup plus sécurisée qu'un simple mot de passe, il est bien connu qu'elle est suffisamment vulnérable aux cybercriminels ses lacunes ont déjà fait craquer de nombreuses célébrités.
Graham a expliqué que les cybercriminels peuvent accéder au numéro de téléphone auquel le code SMS à deux facteurs est envoyé: «Par exemple, un cybercriminel peut simplement fournir au représentant de la société de communications mobiles l'adresse de la victime, les 4 derniers chiffres du numéro de sécurité sociale et, éventuellement, une carte de crédit pour le transfert du numéro de téléphone mobile téléphone.
"Ce sont les informations qui sont largement disponibles sur le darknet en raison de fuites de bases de données précédentes, comme Equifax."
Les conséquences
Certaines questions sont soulevées par le fait que si un incident de sécurité a été découvert dès le 19 juin 2018, il n'a été rendu public que le 1er août 2018, c'est-à-dire plus d'un mois plus tard. Un autre point intéressant, dans les
commentaires sur les nouvelles de l'incident, les administrateurs des ressources ont déclaré qu '"ils ont
embauché leur tout
premier chef de la sécurité , et il a commencé à travailler il y a seulement
2,5 mois ".
Pour le moment, les comptes d'utilisateurs compromis sont toujours valides, mais des lettres ont été envoyées à leurs propriétaires avec des instructions pour changer le mot de passe.
De plus, les administrateurs de reddit ont introduit une authentification avancée à deux facteurs pour accéder aux données sensibles. Il est conseillé aux utilisateurs de Reddit de réinitialiser et de définir un mot de passe unique fort et de configurer la confirmation de connexion à l'aide du code généré par l'application, et non via SMS.