Reddit piraté : des mots de passe d’utilisateurs dérobés

Rénald Boulestin,

Reddit annonce avoir fait l’objet d’un piratage et que des données d’utilisateurs ont été dérobées.

Reddit a admis qu’un hacker a fait irruption dans quelques-uns de ses systèmes et a accédé à certaines données d’utilisateurs.

L’authentification à deux facteurs par SMS pointée du doigt

Ces dernières comprennent des adresses électroniques et une sauvegarde 2007 de base de données contenant d’anciens mots de passe chiffrés. Reddit ne donne en revanche aucune information sur la façon dont ces mots de passe ont été chiffrés.

Par ailleurs, la copie d’une ancienne sauvegarde de base de données contenant les données utilisateur de Reddit datant du lancement du site en 2005 jusqu’en mai 2007 a été consultée par le hacker, selon le site communautaire de partage de signets.

Reddit reconnait, dans un billet de blog, que « l’authentification par SMS n’est pas aussi sûre que nous l’espérions ».

Le groupe dirigé par  Steve Huffman invite à passer « à l’authentification à deux facteurs basée sur des jetons ».

Reddit suggère également aux utilisateurs de changer leurs mots de passe s’ils ont été utilisés durant des années. Reddit suggère également d’utiliser des mots de passe forts et uniques.

Le piratage a eu lieu entre les 14 juin et 18 juin.

Pas d’accès en écriture aux serveurs

Reddit est l’un des 10 plus gros sites Web au monde, avec 234 millions d’utilisateurs uniques et 542 millions de visiteurs mensuels en février 2018.

Reddit coopère avec les forces de l’ordre pour identifier le pirate informatique.

Le site a aussi récemment embauché un responsable de la sécurité et engage maintenant des personnes supplémentaires pour élargir son équipe de sécurité interne.

Reddit précise par ailleurs que le pirate n’a pas obtenu d’accès en écriture aux systèmes Reddit, mais « seulement » un accès en lecture à certains systèmes contenant des données de sauvegarde, du code source et d’autres journaux.

Ils n’ont pas été en mesure de modifier les informations sur les serveurs de Reddit et « nous avons pris des mesures depuis l’événement pour verrouiller et faire pivoter tous les secrets de production et les clés API, et pour améliorer nos systèmes de journalisation et de surveillance ».

Enfin Reddit veut jouer la carte de la transparence avec ses utilisateurs, « voulant partager ce que nous savons, comment cela peut vous affecter, et ce que nous avons fait pour nous protéger ainsi que vous contre ce type d’attaque à l’avenir ».

(Crédit photo : @Reddit)