L'été fût chaud pour le site communautaire. Mi-juin, un pirate a accédé aux comptes de certains employés et récupéré les codes de validation en deux étapes envoyés par SMS. « Nous avons appris que l'authentification par SMS n'était pas aussi sécurisée que nous l'espérions », avait alors reconnu Reddit.
L'attaquant a ainsi obtenu un accès en lecture à plusieurs lots de données d'utilisateurs : une sauvegarde complète de 2007 avec pseudos, mots de passes hachés et salés, email et aussi l'ensemble des contenus publiés de manière privée ou publique. Il est également question du résumé envoyé par email aux utilisateurs entre les 3 et 17 juin 2018.
Ce n'est pas tout. Le pirate ayant eu accès au système de stockage de Reddit, d'autres données comme le code source, les journaux internes, les fichiers de configuration et des documents de travail des employés étaient accessibles.
Les clients affectés ont été prévenus par email et, le cas échéant, une demande de réinitialisation de mot de passe envoyée. La police mène une enquête de son côté.
Commentaires (6)
#1
La question étant : pourquoi avait-ils toujours une sauvegarde de 2007 ?
L’annonce de Reddit ne l’explique pas, ni ne précise dans “What is Reddit doing about it?” qu’ils éviterons d’en garder à l’avenir…
#2
Si une buse n’a pas changé de mdp depuis 2007…
" />
#3
Reddit moi pas que c’est pas vrai 
" />
#4
ben les sauvegardes il faut en avoir, mais en général pas au même endroit.
à mon avis c’est un oubli quelque part dans un répertoire.
#5
Le mot de passe est un soucis (par exemple si tu l’a réutilisé en 2007 pour d’autre services, que tu a oublié depuis…) mais n’est pas le seul:
La sauvegarde contiens aussi:
“so the most significant data contained in this backup are account credentials (username + salted hashed passwords), email addresses, and all content (mostly public, but also private messages) from way back then.”
#6
Oui, c’est très certainement ça…