Am 5. Februar wurden die Systeme von Reddit aufgrund eines Phishing-Angriffs verletzt, bei dem ein Hacker Zugriff auf interne Dokumente, Systeme und Code erlangte.
Reddit schrieb in a langer Beitrag letzte Nacht, dass sie auf eine kürzlich durchgeführte „ausgeklügelte Phishing-Kampagne aufmerksam wurden, die auf Reddit-Mitarbeiter abzielte“. Der Angriff sollte Mitarbeiter täuschen, indem er Links zu einer gefälschten Website sendete, die „das Verhalten unseres Intranet-Gateways geklont hat, um Anmeldeinformationen und Zweitfaktor-Token zu stehlen“.
Ein Mitarbeiter gab an, Opfer eines Phishing-Angriffs geworden zu sein, bei dem die Angreifer ihre Anmeldedaten erlangten. Von dort aus, so Reddit, habe der schlechte Schauspieler Zugriff auf „einige interne Dokumente, Code sowie einige interne Dashboards und Geschäftssysteme“ erhalten.
Eine weitere Untersuchung von Reddit ergab, dass die zusätzliche Exposition „begrenzte“ Kontaktinformationen von aktuellen und ehemaligen Mitarbeitern und Informationen von Werbetreibenden waren. Es gab auch keine Hinweise auf einen Verstoß gegen “primäre Produktionssysteme”.
Basierend auf den Untersuchungen des Unternehmens hieß es, dass keine Reddit-Benutzerkonten oder Passwörter von dem Angriff betroffen waren. Sobald die Sicherheit wusste, was passierte, widerrief sie den Zugriff auf dieses Konto. Der Beitrag erwähnt auch, dass ähnliche Phishing-Angriffe kürzlich von anderen Reddit-Mitarbeitern gemeldet wurden.
Reddit sagte später in einem Kommentar: „Wie wir alle wissen, ist der Mensch oft der schwächste Teil der Sicherheitskette“, was die passiv-aggressivste Nachricht ist, die ein IT-Mitarbeiter Ihnen senden kann, nachdem jemand auf einen Phishing-Betrug hereingefallen ist.
Am Ende des Beitrags wurden verschiedene Möglichkeiten beworben, Ihr Reddit-Konto sicher zu halten, z. B. die Aktivierung der Zwei-Faktor-Authentifizierung und die Verwendung eines Passwort-Managers. Passwort-Manager eignen sich hervorragend zum Verhindern von Phishing-Angriffen, da sie erkennen können, wenn etwas an der Domäne, bei der Sie sich anmelden möchten, faul ist.
Ich persönlich freue mich einfach, das zu sehen Lieblings-Subreddit war unbeeinflusst.