El popular sitio web de noticias sociales y foro Reddit ha sido violado (nuevamente) y el atacante «obtuvo acceso a algunos documentos internos, código, así como a algunos paneles internos y sistemas comerciales», pero aparentemente no a los sistemas de producción primarios y datos de usuario.
“La exposición incluyó información de contacto limitada para contactos y empleados de la compañía (actuales y anteriores), así como información limitada del anunciante. Según varios días de investigación inicial por parte de seguridad, ingeniería y ciencia de datos, no tenemos evidencia que sugiera que se haya accedido a ninguno de sus datos no públicos o que la información de Reddit se haya publicado o distribuido en línea.”, dijo el CTO de Reddit, Christopher Slowe.
La investigación aún está en curso y aún no se han confirmado algunos detalles, pero la violación comenzó como la mayoría de las violaciones corporativas en estos días: con un ataque de phishing exitoso.
“A última hora (PST) del 5 de febrero de 2023, nos enteramos de una sofisticada campaña de phishing dirigida a los empleados de Reddit. Como en la mayoría de las campañas de phishing, el atacante envió indicaciones que parecían plausibles y que indicaban a los empleados un sitio web que clonaba el comportamiento de nuestra puerta de enlace de intranet, en un intento de robar credenciales y tokens de segundo factor”, compartió Slowe.
Aproveche la solución de evaluación de vulnerabilidades más confiable del sector para evaluar toda la superficie de ataque moderna. Vaya más allá de sus activos de TI tradicionales, proteja su infraestructura en la nube y obtenga visibilidad hacia su superficie de ataque conectada a Internet.
Conocer..
“Poco después de ser phishing, el empleado afectado se autoinformó y el equipo de seguridad respondió rápidamente, eliminando el acceso del infiltrado y comenzando una investigación interna”.
Todos los empleados tienen habilitada la autenticación de dos factores, tanto para usar en Reddit como para todos los accesos internos, agregó, pero el atacante logró capturar las credenciales de inicio de sesión del empleado y otro token de acceso.
Hace cinco años, Reddit fue violado de manera similar. En ese momento, algunas de las cuentas de sus empleados con sus proveedores de alojamiento en la nube y código fuente se vieron comprometidas después de que los atacantes comprometieran las contraseñas de los empleados e interceptaran el segundo factor de autenticación enviado a través de SMS.
Entonces, tal vez este último ataque empuje a Reddit a implementar tokens FIDO de hardware («claves» físicas), que actualmente es la opción más segura para el segundo factor de autenticación.
Slowe mencionó que estaba agradecido de que el empleado informara que habían sido objeto de suplantación de identidad cuando se dieron cuenta de que sucedió.
Fuente: helpnetsecurity
Si te ha gustado, ¡compártelo con tus amigos!
