Reddit зазнав кібератаки в неділю ввечері, дозволивши хакерам отримати доступ до внутрішніх бізнес-систем і викрасти внутрішні документи та вихідний код. У компанії стверджують, що хакери використовували фішинг-приманку для співробітників Reddit з цільовою сторінкою, що імітує її інтранет-сайт. Цей сайт намагався викрасти облікові дані співробітників і маркери двофакторної автентифікації.
Після того, як один співробітник став жертвою фішингової атаки, зловмисник зміг зламати внутрішні системи Reddit, щоб викрасти дані та вихідний код.
«Після успішного отримання облікових даних одного співробітника зловмисник отримав доступ до деяких внутрішніх документів, коду, а також деяких внутрішніх інформаційних панелей і бізнес-систем», — пояснює Reddit у своєму повідомленні про інцидент безпеки.
«Ми не показуємо жодних ознак порушення наших основних виробничих систем (частин нашого стека, які запускають Reddit і зберігають більшість наших даних)».
Reddit каже, що вони дізналися про порушення після того, як співробітник сам повідомив про інцидент групі безпеки компанії.
Після розслідування інциденту Reddit каже, що викрадені дані включають обмежену контактну інформацію для контактів компанії та нинішніх і колишніх співробітників. Дані також містили деякі подробиці про рекламодавців компанії, але дані кредитної картки, паролі та ефективність реклами були недоступні.
Reddit також каже, що немає жодних ознак того, що зловмисники змогли зламати виробничі системи, які використовувалися для роботи сайту. Хоча Reddit не поділився жодними подробицями щодо фішингової атаки, вони посилалися на подібну атаку, використану для зламу Riot Games.
Під час цієї атаки зловмисники зламали Riot Games і викрали вихідний код багатокористувацької бойової онлайн-арени League of Legends (LoL), автоматичної бойової гри Teamfight Tactics (TFT) і застарілої платформи проти чітів.
Пізніше ігрова компанія отримала та відхилила вимогу викупу в розмірі $10 мільйонів за те, щоб дані не були витоку. Пізніше хакер спробував продати вихідний код League of Legends за $10 мільйонів на хакерському форумі. BleepingComputer зв’язався з Reddit із додатковими запитаннями, але відповідь надійшла не відразу.