Em comunicado oficial, o Reddit informou (via WeLiveSecurity) os utilizadores que, em junho, um atacante acedeu às contas de alguns funcionários após trespassar o duplo fator de autenticação, o que permitiu que seus dados fossem expostos, como contas de email e um banco de dados antigo de 2007 com palavras-passe e mensagens privadas
O incidente ocorreu entre os dias 14 e 18 de junho e, segundo a empresa, o roubo de dados foi descoberto no dia seguinte, a 19 de junho, apesar de alegarem que o atacante (ou os atacantes) em nenhum momento tiveram acesso aos seus servidores. “Eles não puderam modificar informações do Reddit e desde que tivemos conhecimento sobre o incidente que tomámos medidas para bloquear todos os segredos de produção e as chaves API”, comentou a empresa em comunicado.
Segundo o Reddit, o atacante conseguiu interceptar mensagens SMS destinadas a alguns dos seus funcionários e, consequentemente, o código do duplo fator de autenticação que permitia o acesso à conta de emails. Tal como foi publicado pela Bleeping Computer, apesar do comunicado do Reddit não mencionar, fica claro que o cibercriminoso tinha acesso às palavras-passe de alguns funcionários.
Este roubo de informação deixa em aberto uma pergunta: qual a segurança do duplo fator de autenticação vinculado ao SMS? O Reddit explicou que, como medida de prevenção, os funcionários migraram para um duplo fator de autenticação vinculado a uma aplicação de token.
O Reddit está a enviar mensagens para os utilizadores afetados e redefinindo palavras-passe de contas nas quais os dados de acesso ainda podem ser válidos. Além disso, a empresa também destaca que os utilizadores devem estar atentos às suas mensagens privadas na plataforma ou à sua caixa de email, uma vez que, se forem afetados, serão informados o mais rapidamente possível.
