Popüler sosyal haber sitesi ve forumu Reddit (tekrar) ihlal edildi ve saldırgan “bazı dahili belgelere, koda ve ayrıca bazı dahili panolara ve iş sistemlerine erişim elde etti”, ancak görünüşe göre birincil üretim sistemlerine ve kullanıcı verilerine erişemedi.
Bu nasıl oldu ve ihlalin boyutu nedir?
“İfşa, (şu anda yüzlerce) şirket bağlantısı ve çalışanı (mevcut ve eski) için sınırlı iletişim bilgilerinin yanı sıra sınırlı reklamveren bilgilerini içeriyordu. Güvenlik, mühendislik ve veri bilimi (ve arkadaşlar!) tarafından birkaç gün süren ilk araştırmaya dayanarak, kamuya açık olmayan verilerinizden herhangi birine erişildiğini veya Reddit’in bilgilerinin çevrimiçi olarak yayınlandığını veya dağıtıldığını gösteren hiçbir kanıtımız yok. “KeyserSosa” tanıtıcısıyla çevrimiçi olan Reddit CTO’su Christopher Slowe dedi.
Soruşturma hala devam ediyor ve bazı ayrıntılar henüz onaylanmadı, ancak ihlal, günümüzde çoğu kurumsal ihlalin yaptığı gibi, başarılı bir kimlik avı saldırısıyla başladı.
“5 Şubat 2023’ün sonlarında (PST) Reddit çalışanlarını hedef alan karmaşık bir kimlik avı kampanyasının farkına vardık. Çoğu kimlik avı kampanyasında olduğu gibi, saldırgan kimlik bilgilerini ve ikinci faktör belirteçlerini çalmak amacıyla çalışanları intranet ağ geçidimizin davranışını klonlayan bir web sitesine yönlendiren kulağa makul gelen istemler gönderdi,” diye paylaştı Slowe.
“Dolandırıcılığa maruz kaldıktan kısa bir süre sonra, etkilenen çalışan kendini ihbar etti ve Güvenlik ekibi hızla yanıt vererek sızanın erişimini kaldırdı ve dahili bir soruşturma başlattı.”
Tüm çalışanların, hem Reddit’te kullanım için hem de tüm dahili erişim için iki faktörlü kimlik doğrulamanın etkinleştirildiğini ekledi, ancak saldırgan, çalışanın oturum açma kimlik bilgilerini ve diğer erişim belirtecini ele geçirmeyi başardı.
Beş yıl önce Reddit de benzer şekilde ihlal edilmişti. O sırada, saldırganların çalışanların şifrelerini ele geçirmesi ve SMS yoluyla gönderilen ikinci kimlik doğrulama faktörünü ele geçirmesinin ardından, çalışanlarından birkaçının bulut ve kaynak kodu barındırma sağlayıcılarıyla olan hesaplarının güvenliği ihlal edilmişti.
Bu nedenle, belki de bu son saldırı, Reddit’i şu anda ikinci kimlik doğrulama faktörü için en güvenli seçenek olan donanım FIDO belirteçlerini (fiziksel “anahtarlar”) uygulamaya itecektir.
Slowe, çalışanın bunun olduğunu fark ettiklerinde dolandırıcılığa maruz kaldıklarını bildirmesine minnettar olduğunu belirtti.
Kullanıcılar ne yapmalı?
Kullanıcı verilerine erişilmedi, ancak yine de kullanıcılara Reddit hesaplarında 2FA’yı etkinleştirmeleri önerildi (henüz yapmamışlarsa). 2FA’yı etkinleştirmek, gerçekçi kimlik avı sitelerini içeren saldırılardan etkilenmelerini engelleyebilir.
Stowe, “Ve bunu bir adım daha ileri götürmek istiyorsanız, parolanızı birkaç ayda bir güncellemek her zaman iyi bir fikirdir – yalnızca daha fazla koruma için güçlü ve benzersiz olduğundan emin olun,” diye ekledi.
Etkilenen şirket bağlantıları, çalışanları ve reklamverenlerle iletişime geçiliyor.