Sofistike ve oldukça hedefli bir kimlik avı saldırısı, Reddit sistemlerinin hacklenmesine yol açtı. Raporlar, saldırganlara bazı dahili iş sistemlerine, kodlara ve belgelere erişim izni verildiğini söylüyor.
Saldırgan, kimlik bilgilerini ve iki faktörlü belirteçleri elde etme çabasıyla, diğer kimlik avı saldırılarında olduğu gibi, çalışanları intranet ağ geçidimizin davranışını taklit eden bir web sitesine yönlendiren kulağa makul gelen istemler gönderdi.
Gelişmiş Kimlik Avı Kampanyasının Özellikleri
5 Şubat 2023’ün sonlarında (PST), Reddit, Reddit çalışanlarını hedefleyen gelişmiş bir kimlik avı kampanyasını öğrendi.
Saldırgan, tek bir çalışanın kimlik bilgilerini başarıyla aldıktan sonra, bazı dahili belgelere ve koda, ayrıca bazı dahili panolara ve iş sistemlerine erişim elde etti.
Reddit, “Birincil üretim sistemlerimizin (yığınımızın Reddit’i çalıştıran ve verilerimizin çoğunu depolayan bölümleri) ihlaline dair hiçbir belirti göstermiyoruz” diye açıklıyor Reddit.
(Şu anda yüzlerce) firma bağlantısı, çalışanları (hem mevcut hem de geçmiş) için sınırlı iletişim bilgileri ve sınırlı reklamveren bilgileri açığa çıktı.
Reddit’e göre “Halka açık olmayan verilerinizden herhangi birine erişildiğine veya Reddit’in bilgilerinin çevrimiçi olarak yayınlandığına veya dağıtıldığına dair hiçbir kanıtımız yok”.
Reddit, etkilenen çalışanın kimlik avına uğradığını hemen bildirdiğini ve güvenlik ekibinin davetsiz misafirin erişimini engelleyerek ve dahili bir soruşturma başlatarak hızla harekete geçtiğini belirtiyor.
Şirket, herhangi bir isim vermeden, “Son zamanlarda benzer kimlik avı saldırıları rapor edildi” dedi. Güvenlik ihlali sonucunda erişilen kaynak kodundan bahsetmedi.
“Durumu yakından incelemeye ve izlemeye ve güvenlik becerilerimizi güçlendirmek için çalışanlarımızla birlikte çalışmaya devam ediyoruz.”
Reddit, “Hepimizin bildiği gibi, insan genellikle güvenlik zincirinin en zayıf parçasıdır” dedi.
Hesabınızı Nasıl Koruyabilirsiniz?
- 2FA (iki faktörlü kimlik doğrulama) ayarlamak, Reddit hesap erişiminize ek bir güvenlik derecesi ekleyecektir.
- Parolanızı düzenli olarak değiştirmek akıllıca bir fikirdir; sadece maksimum güvenlik için güçlü ve farklı olduğundan emin olun.
- Bir şifre yöneticisi kullanın! Yalnızca fevkalade karmaşık parolalar sunmakla kalmazlar, aynı zamanda bir kimlik avı web sitesinde parolanızı girmeden önce sizi uyararak ek bir güvenlik katmanı eklerler.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin