Em um comunicado oficial, o Reddit informou aos usuários que, em junho, um atacante acessou as contas de alguns funcionários após burlar o duplo fator de autenticação, o que permitiu que seus dados fossem expostos, como contas de e-mail e um banco de dados antigo de 2007 com senhas e mensagens privadas.
O incidente ocorreu entre os dias 14 e 18 de junho e, segundo a empresa, o vazamento de dados foi descoberto no dia seguinte, mais especificamente em 19 de junho, apesar de alegarem que o atacante (ou os atacantes) em nenhum momento tiveram acesso aos seus servidores. "Eles não puderam modificar informações do Reddit e desde que tivemos conhecimento sobre o incidente tomamos medidas para bloquear todos os segredos de produção e as chaves API", destacou a empresa no comunicado.
Burlaram o duplo fator de autenticação vinculado ao SMS
Segundo a empresa, o atacante conseguiu interceptar mensagens SMS destinadas a alguns de seus funcionários e, consequentemente, o código do duplo fator de autenticação que permitia o acesso à conta de e-mails. Assim como foi publicado pela Bleeping Computer, apesar do comunidado do Reddit não mencionar, fica claro que o cibercriminoso tinha acesso às senhas de alguns funcionários.
Esse vazamento de dados deixa em aberto uma pergunta: qual a segurança do duplo fator de autenticação vinculado ao SMS? O Reddit, explicou que, como medida de prevenção, os funcionários migraram para um duplo fator de autenticação vinculado a um aplicativo de token.
O Reddit está enviando mensagens para os usuários afetados e redefinindo senhas de contas nas quais os dados de acesso ainda podem ser válidos. Além disso, a empresa também destaca que os usuários devem estar atentos às suas mensagens privadas na plataforma ou à sua caixa de entrada do e-mail, uma vez que, se forem afetados, serão informados o mais rapidamente possível.