Reddit victime d'une fuite de données malgré la mise en place d'une authentification à double facteur pour ses employés

Reddit a été victime d'un vol de données suite à l'interception de plusieurs SMS utilisés dans le cadre d'une authentification à double facteur par ses employés. 

Reddit a annoncé à ses utilisateurs, par mail et sur leur site, qu'entre le 14 juin et le 18 juin, un attaquant a pu compromettre plusieurs comptes de ses employés en exploitant une faille sur l'authentification à double facteur par SMS utilisé par les employés. L'attaquant a ainsi pu intercepter les SMS destinés aux victimes et récupérer les tokens associés. Suite à cette attaque, et devant les multiples possibilités d'attaques pour intercepter des SMS, Reddit a préféré changer sa technique d'authentification et a recommandé à ses utilisateurs d'utiliser une authentification à double facteur utilisant un jeton matériel ou logiciel.

Reddit n'a pas mentionné les détails techniques de l'attaque et a annoncé que les téléphones des employés n'ont pas été compromis. 

Les informations volées dans le cadre de cette attaque sont déclinées en deux catégories :

  • Toutes les données de Reddit antérieures à 2007, y compris les informations d'authentification et les adresses e-mail des utilisateurs: Une copie complète d'une ancienne sauvegarde de la base de données contenant les données utilisateur saisies sur le site Web depuis son lancement jusqu'à mai 2007.
  • Condensats d'emails envoyés par Reddit en juin 2018: Journaux contenant les résumés des emails envoyés entre le 3 juin et le 17 juin 2018

L'attaquant a réussi à avoir un accès en lecture seule aux systèmes de Reddit, et a pu accéder à d'autres données comme du code source, des journaux internes, des fichiers de configuration et d'autres fichiers appartenant aux espaces de travail des employés. L'attaquant n'a pas été en mesure de réaliser des modifications sur les systèmes de la société.

Suite à l'attaque, Reddit a pris des mesures de sécurité pour renforcer son système d'information et faire modifier tous les secrets de production et les clés utilisées au sein de ses API, et pour améliorer leurs systèmes de journalisation et de surveillance. Reddit a également informé les utilisateurs pouvant être impactés par l'attaque et les invite à changer leurs mots de passe.