Reddit a admis qu’un hacker a fait irruption dans quelques-uns de ses systèmes et a accédé à certaines données d’utilisateurs.
Ces dernières comprennent des adresses électroniques et une sauvegarde 2007 de base de données contenant d’anciens mots de passe chiffrés. Reddit ne donne en revanche aucune information sur la façon dont ces mots de passe ont été chiffrés.
Par ailleurs, la copie d’une ancienne sauvegarde de base de données contenant les données utilisateur de Reddit datant du lancement du site en 2005 jusqu’en mai 2007 a été consultée par le hacker, selon le site communautaire de partage de signets.
Reddit reconnait, dans un billet de blog, que « l’authentification par SMS n’est pas aussi sûre que nous l’espérions ».
Le groupe dirigé par Steve Huffman invite à passer « à l’authentification à deux facteurs basée sur des jetons ».
Reddit suggère également aux utilisateurs de changer leurs mots de passe s’ils ont été utilisés durant des années. Reddit suggère également d’utiliser des mots de passe forts et uniques.
Le piratage a eu lieu entre les 14 juin et 18 juin.
Reddit est l’un des 10 plus gros sites Web au monde, avec 234 millions d’utilisateurs uniques et 542 millions de visiteurs mensuels en février 2018.
Reddit coopère avec les forces de l’ordre pour identifier le pirate informatique.
Le site a aussi récemment embauché un responsable de la sécurité et engage maintenant des personnes supplémentaires pour élargir son équipe de sécurité interne.
Reddit précise par ailleurs que le pirate n’a pas obtenu d’accès en écriture aux systèmes Reddit, mais « seulement » un accès en lecture à certains systèmes contenant des données de sauvegarde, du code source et d’autres journaux.
Ils n’ont pas été en mesure de modifier les informations sur les serveurs de Reddit et « nous avons pris des mesures depuis l’événement pour verrouiller et faire pivoter tous les secrets de production et les clés API, et pour améliorer nos systèmes de journalisation et de surveillance ».
Enfin Reddit veut jouer la carte de la transparence avec ses utilisateurs, « voulant partager ce que nous savons, comment cela peut vous affecter, et ce que nous avons fait pour nous protéger ainsi que vous contre ce type d’attaque à l’avenir ».
(Crédit photo : @Reddit)
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…