Reddit annonce dans un post daté du 1er août avoir été victime d'un piratage. Un hacher est parvenu à s'introduire dans les serveurs du réseau social et a accédé à des données utilisateur, adresses e-mail et mots de passe inclus. Reddit précise néanmoins que les bases de données comprenant les mots de passes datent de 2007. Pour mener leur attaque, les hackers seraient parvenus à déjouer l'authentification double-facteur par SMS de comptes de salariés de l'entreprise. 

Dans un communiqué Reddit vient d'annoncer avoir été victime d'un piratage de ses serveurs en juin 2018. La firme explique : “un attaquant a compromis quelques un des comptes de nos employés […] Alors que nos principaux points d'accès pour le code et l'infrastructure sont protégés par une authentification forte exigeant l'authentification double facteur (2FA), nous avons appris à nos dépends que l'authentification reposant sur l'envoi de SMS n'est pas aussi sécurisé que nous l'espérions, puisque l'attaque principale reposait sur l'interception de SMS. Nous en profitons pour encourager tout le monde ici à migrer vers une authentification 2FA via token”. 

Reddit Piraté : quelles données ont-elles été touchées ?

Reddit explique avoir mené une longue enquête pour comprendre quelles étaient les données auxquelles l'attaquant a eu accès. Les données qui intéressent les redditeurs seraient surtout de deux types. Il y a d'abord ceux qui sont sur le réseau social depuis au moins 2007 : la copie complète d'une ancienne base de données a été consultée. Elle contenait les paires adresse email et mots de passe des comptes utilisateur, ainsi que leur contenu associé (posts publics et messages privés). L'autre ce sont des logs de newsletters envoyées entre le 3 juin et le 17 juin 2018.

Ces logs connectent un nom d'utilisateur à une adresse email associée, et peuvent donc faire tomber l'anonymat de certains comptes. Dans les deux cas, si vous êtes concernés par cette fuite de données, vous devrez recevoir un message de Reddit et votre mot de passe sera automatiquement réinitialisé. Les comptes créés après 2007 sont par ailleurs totalement exclus de ce piratage – c'est tout du moins ce qu'assure la plate-forme.

Comment se protéger ?

Reddit conseille de bien regarder quelles informations compromettantes peuvent être associées à votre adresse email et de les supprimer si nécessaire grâce à cette page d'aide. Le principal danger de ce piratage, c'est en effet que des personnes mal intentionnées puissent vous relier à des contenus de la plateforme. Le site conseille également d'activer l'authentification double-facteur, qui, précise le communiqué, ne repose que sur un générateur de code, et en aucun cas sur l'envoi de SMS. Nous recommandons au passage de changer de mot de passe.

Utilisez-vous Reddit ? Avez-vous reçu un email de la plateforme ? Partagez votre retour dans les commentaires de cet article.