Dans un billet publié ce jeudi 2 août, le site communautaire indique que les adresses électroniques actuelles et une sauvegarde de la base de données datant de 2007 contenant d'anciens mots de passe salés et hachés ont été consultées. « Le 19 juin, nous avons constaté qu'entre le 14 et le 18 juin, un attaquant avait eu accès à des comptes détenus par certains de nos employés chez des fournisseurs d'hébergement cloud et de code source », a fait savoir Reddit. « Alors que nos points d'accès primaires pour le code et l'infrastructure sont protégés par un système d’authentification à deux facteurs (2FA), nous avons remarqué que l'authentification par SMS n’était pas aussi sûre que nous le pensions : en effet, l'attaque principale était basée sur une interception de SMS. Ce communiqué a donc aussi pour but d’encourager tout le monde à passer à l’authentification 2FA par jetons ».
Selon Reddit, le pirate n'a pas pu obtenir d’accès en écriture à ses systèmes, mais uniquement un accès en lecture seule à certains systèmes contenant des données de sauvegarde, du code source et d'autres données de logs. La copie complète d'une sauvegarde d’une ancienne base contenant les données des premiers utilisateurs de Reddit, depuis le lancement du site en 2005 jusqu'en mai 2007, a été consultée. Selon Reddit, les données les plus importantes contenues dans cette sauvegarde sont les informations d'identification de compte (nom d'utilisateur et mots de passe à hachage salé), les adresses électroniques et tout le contenu (principalement public, mais aussi privé). Les logs contenant des aperçus de courriels envoyés par Reddit entre le 3 et le 17 juin 2018 ont également été consultés. Ces aperçus relient le nom d'utilisateur à l'adresse e-mail associée et contiennent des suggestions de messages populaires et de sous sections thématiques, les « subreddits », auxquelles sont abonnés les utilisateurs.
Les fichiers d'environnement de travail de Reddit accédés
« Étant donné que l'attaquant a pu accéder en lecture seule à nos systèmes de stockage, il a pu voir d'autres données comme le code source Reddit, des journaux internes, des fichiers de configuration et d’autres fichiers se trouvant dans l’environnement de travail des employés, mais ces deux catégories de données d'utilisateur sont les plus importantes », précise encore le communiqué. Reddit a signalé le problème aux autorités légales, a informé ses utilisateurs et a pris des mesures pour sécuriser encore plus d’autres accès potentiels à ses systèmes.
Commentaire