El popular sitio web de noticias sociales y foro Reddit ha sido hackeado (nuevamente) y el ata uncante “obtuvo acceso a algunos documentos internos, código, así como a algunos paneles internos y sistemas comerciales” pero aparentemente no a los sistemas de producción primarios y datos de usuario.
¿Cómo sucedió y cuál es el alcance de la brecha?
“La exposición incluyó información de contacto limitada para (actualmente cientos de) contactos y empleados de la compañía (actuales y anteriores), así como información limitada del anunciante. Según varios días de investigación inicial por parte de seguridad, ingeniería y ciencia de datos (¡y amigos!), no tenemos evidencia que sugiera que se haya accedido a ninguno de sus datos no públicos, o que la información de Reddit se haya publicado o distribuido en línea. ” ,dijo el CTO de Reddit, Christopher Slowe, quien se conecta en línea con el nombre de usuario “KeyserSosa”.
La investigación aún está en curso y aún no se han confirmado algunos detalles, pero la violación comenzó como la mayoría de las violaciones corporativas en estos días: con un ataque de phishing exitoso.
“A última hora (PST) del 5 de febrero de 2023, nos enteramos de una sofisticada campaña de phishing dirigida a los empleados de Reddit. Como en la mayoría de las campañas de phishing, el atacante envió indicaciones que parecían plausibles y que indicaban a los empleados un sitio web que clonaba el comportamiento de nuestra puerta de enlace de intranet, en un intento de robar credenciales y tokens de segundo factor”, compartió Slowe.
“Poco después de ser phishing, el empleado afectado se autoinformó y el equipo de seguridad respondió rápidamente, eliminando el acceso del infiltrado y comenzando una investigación interna”.
Todos los empleados tienen habilitada la autenticación de dos factores, tanto para usar en Reddit como para todos los accesos internos, agregó, pero el atacante logró capturar las credenciales de inicio de sesión del empleado y otro token de acceso.
Hace cinco años Reddit fue hackeado de manera similar. En ese momento, algunas de las cuentas de sus empleados con sus proveedores de alojamiento en la nube y código fuente se vieron comprometidas, después de que los atacantes comprometieran las contraseñas de los empleados e interceptaran el segundo factor de autenticación enviado a través de SMS.
Entonces, tal vez este último ataque empuje a Reddit a implementar tokens FIDO de hardware (“claves” físicas), que actualmente es la opción más segura para el segundo factor de autenticación.
Slowe mencionó que estaba agradecido de que el empleado informara que habían sido objeto de suplantación de identidad cuando se dieron cuenta de que sucedió.
¿Qué deben hacer los usuarios?
No se ha accedido a los datos del usuario, pero se ha aconsejado a los usuarios que habiliten 2FA en su cuenta de Reddit (si aún no lo han hecho). Habilitar 2FA puede evitar que se vean afectados por ataques que involucren sitios de phishing realistas .
“Y si quiere ir un paso más allá, siempre es una buena idea actualizar su contraseña cada dos meses, solo asegúrese de que sea fuerte y única para una mayor protección”, agregó Stowe.
Se está contactando a los contactos de la empresa, empleados y anunciantes afectados.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad