La plateforme américaine a subi en juin une intrusion sur ses serveurs, une attaque « sérieuse » qui a vu fuir les mails envoyés par Reddit à ses utilisateurs en juin 2018, ainsi qu’une vieille base de données contenant identifiants et mots de passe chiffrés des utilisateurs entre 2005 et 2007. Le piratage a été rendu possible par une authentification par SMS défaillante.
Entre les 14 et 18 juin dernier, un attaquant a pu tranquillement consulter certains « systèmes » de Reddit, ayant accès en lecture seulement à « des données de sauvegarde, du code source et d’autres log » de la plateforme. Ont été compromises des données utilisateurs. D’abord celles contenues dans une base de données datant de 2007, contenant les identifiants et mots de passe (chiffrés) d’utilisateurs de Reddit entre 2005 et 2007, ainsi que les mails et noms d’utilisateurs contenus dans les mails envoyés par Reddit entre les 3 et 17 juin 2018.
Le ou les hackers ont également eu accès au code source de Reddit, aux logs internes, à des fichiers de configuration et à d’autres fichiers d'espace de travail des employés du site. Dans un post, le CTO de Reddit, Christopher Slowe, souligne que l’attaquant a seulement pu lire les fichiers et n’avait heureusement pas de droit d’écriture. « Nous avons pris des mesures depuis l'événement pour verrouiller tous les secrets de production et les clés API, et pour améliorer nos systèmes d'enregistrement et de surveillance » écrit-il.
L’authentification par SMS en cause
Cette attaque a été rendue possible par la compromission de plusieurs comptes d’employés chez le prestataire cloud et chez l’hébergeur de Reddit. Et ce malgré une authentification à deux facteurs, qui s’avère être la source du mal. « Ayant déjà nos principaux points d'accès pour le code et l'infrastructure abrités derrière une authentification forte nécessitant une authentification à deux facteurs (2FA), nous avons appris que l'authentification par SMS n'est pas aussi sûre que nous l'espérions » note le CTO.
C’est par l’interception de ces SMS que l’attaquant a pu s’inviter sur les serveurs de la société. « Nous avons pris des mesures pour garantir que les points d'accès privilégiés aux systèmes de Reddit sont plus sécurisés (par exemple, un logging amélioré, un meilleur chiffrement et une authentification à deux facteurs basée sur les jetons, car nous pensons que les faiblesses inhérentes aux 2FA par SMS sont la cause principale de cet incident) ».