Sosyal medya platformu Reddit, sistemlerine yapılan ve belirsiz bir tehdit aktörünün sınırlı sayıda dahili belgeye, koda ve bazı dahili iş sistemlerine yetkisiz erişim elde etmesine neden olan bir siber saldırının ardından, kullanıcılarına verilerinin güvende olduğu konusunda güvence vermek için harekete geçti.
Veri ihlali ilk olarak 5 Şubat Pazar günü, Reddit’in güvenlik ekibinin, Reddit çalışanlarının onları intranet ağ geçidinin klonlanmış bir sürümüne yönlendiren görünüşte makul e-posta istemleriyle hedeflendiğini gören “sofistike” ve hedefli kimlik avı saldırısının farkına vardığında gün ışığına çıktı.
Ne yazık ki, bir Reddit çalışanı kimlik bilgilerini girmeye ikna oldu ve klonlanmış ağ geçidinde çok faktörlü bir kimlik doğrulama (MFA) belirteci kullanarak tehdit aktörünün Reddit’in dahili sistemlerine erişimini sağladı.
Bununla birlikte, bu aşamada, kuruluşun birincil üretim sistemlerinde, yani BT yığınının web’e bakan Reddit web sitesini çalıştıran ve kullanıcı verilerinin çoğunu depolayan bölümlerinde herhangi bir ihlal olduğuna dair bir kanıt yoktur.
Reddit baş teknoloji sorumlusu Chris Slowe (namı diğer KeyserSosa), r/reddit alt dizinine yaptığı bir gönderide, “İfşa, mevcut ve eski – şu anda yüzlerce – şirket bağlantısı ve çalışanı için sınırlı iletişim bilgilerinin yanı sıra sınırlı reklamveren bilgilerini içeriyordu” dedi. olayı detaylandırıyor.
“Güvenlik, mühendislik ve veri bilimi ve arkadaşlar tarafından birkaç gün süren ilk araştırmaya dayanarak, kamuya açık olmayan verilerinizden herhangi birine erişildiğine veya Reddit’in bilgilerinin çevrimiçi olarak yayınlandığına veya dağıtıldığına dair hiçbir kanıtımız yok.
“Dolandırıcılığa uğradıktan kısa bir süre sonra, etkilenen çalışan kendini ihbar etti ve güvenlik ekibi hızlı bir şekilde yanıt vererek sızanın erişimini kaldırdı ve dahili bir soruşturma başlattı. Son zamanlarda benzer kimlik avı saldırıları rapor edildi.”
Slowe şunları ekledi: “Durumu yakından incelemeye ve izlemeye ve güvenlik becerilerimizi güçlendirmek için çalışanlarımızla birlikte çalışmaya devam ediyoruz. Hepimizin bildiği gibi, insan genellikle güvenlik zincirinin en zayıf parçasıdır. Amacımız, bu nitelikteki gelecekteki olayları tam olarak anlamak ve önlemektir.”
Onlar üzerindeki etkisi ne olursa olsun, Reddit kullanıcılarına, hizmete erişirken ek güvenlik katmanları eklemek için Reddit hesaplarında MFA kurmalarını ve sık sık değiştirilen güçlü ve benzersiz şifreler kullanmalarını tavsiye etti.
Dersler öğrenildi
2018’de kullanıcı e-posta adreslerini açığa çıkaran ve 2007’ye kadar uzanan bir veri tabanından tuzlanmış ve hashlenmiş şifreleri ifşa eden önceki bir olaydan öğrenilen dersler sayesinde ihlalin etkisinin azaltılmış olabileceğini de sözlerine ekledi.
2018 saldırısı, olayın meydana gelmesini durdurması gereken güvenlik kontrollerini atlamak için SMS tabanlı MFA’daki güvenlik açıklarından yararlandı. Reddit daha sonra SMS tabanlı MFA’dan uzaklaştı.
KnowBe4’ün önde gelen güvenlik farkındalığı savunucusu Javvad Malik, Reddit’in son olaya tepkisini “örnek” olarak nitelendirdi.
Malik, “Bir ihlal veya olay hiçbir zaman hoş bir olay olmasa da, şeffaflık ve pratik tavsiyelerle gerçeğin önüne geçmek her zaman iyidir” dedi.
“Bu olayda, görünüşe göre MFA’ya sahip olmasına rağmen, bir kullanıcının hala kimlik avına maruz kaldığını görüyoruz ve bu, tek bir koruma katmanının tamamen kusursuz olmayacağını zamanında hatırlatıyor.
“Belki de bu olaydan kuruluşlar için en büyük çıkarım, kimlik avına maruz kalan kullanıcının hatasını fark etmesi ve sorunu bildirmesi, bu da Reddit’in güvenlik ekibinin sorunu hızlı bir şekilde araştırmasını sağladı” diye ekledi. “Bu nedenle kullanıcı eğitimi çok önemlidir, böylece insanlar yalnızca bir kimlik avı e-postasını tespit etmekle kalmaz, aynı zamanda nasıl rapor edeceğini de bilir.
“Yine de kimlik avını bildirmek için bir yönteme sahip olmanın bir şey olduğunu hatırlamakta fayda var, ancak çalışanların sorunları herhangi bir olumsuz etki korkusu olmadan güvenle bildirmelerini sağlayan bir güvenlik kültürüne sahip olmak önemlidir.”