该网站的一名管理员透露,一名 Reddit 员工的凭据在一次有针对性的网络钓鱼攻击中被盗,黑客能够在 2 月 5 日渗透其系统。显然,Reddit 员工一直在收到“听起来似是而非的提示”,这些提示会导致一个网站模仿其内部网网关的外观和行为,旨在窃取人们的登录名和第二因素令牌。虽然一名员工确实上当受骗,但他们立即自我报告。这使得该网站的安全团队能够迅速做出反应并切断渗透者的访问权限。
Reddit 发言人表示,不良行为者能够访问该网站的一些“内部文档、代码以及一些内部仪表板和业务系统”。数百名公司合同、现任和前任员工以及一些广告商的联系信息也被曝光。然而,他们向用户保证,调查该事件的安全团队没有发现任何证据表明他们的密码或任何非公开数据已被泄露。该团队也没有找到证据表明从 Reddit 窃取的信息已在网上传播——至少,在调查的这一点上是这样。
Reddit 的发言人表示,该网站“正在继续调查并密切关注情况”。他们还表示,他们从五年前的安全漏洞中吸取的教训仍然有用。如果攻击者这次真的只能窃取一些非用户信息,那么 2018 年的数据泄露事件就严重得多。当时,不良行为者能够获取用户当前的电子邮件地址,以及 2007 年包含帐户密码的数据库备份。
原文: https://www.engadget.com/reddit-hacked-targeted-phishing-attack-062457231.html?src=rss