C’est un nouveau leak massif qui vient secouer le petit monde des réseaux sociaux. Après Twitch il y a quelques mois, c’est au tour de la plateforme Reddit de voir ses secrets exposés au grand jour. Le 5 février dernier, plusieurs employés ont été victimes d’une “attaque de phishing sophistiquée et très ciblée”, ayant pris l’apparence du site intranet de l’entreprise, dans le but de voler leurs informations d’identification et leur jeton d’authentification à double facteur.
Un seul employé a mordu à l’hameçon, mais cela a suffi. L’incident aurait été signalé immédiatement, mais plusieurs données sensibles auraient été dérobées. Dans un communiqué, Reddit détaille notamment des coordonnées d’employés, des détails sensibles sur les annonceurs de l’entreprise, mais aussi le code source de la plateforme.
Êtes-vous concernés ?
À moins d’avoir travaillé pour l’entreprise, vous ne risquez a priori pas grand-chose. L’entreprise a en effet précisé dans un subreddit publié quelques jours plus tôt : “Nous ne constatons aucune trace de violation dans nos systèmes principaux (les parties de notre stack qui font fonctionner Reddit et stockent la majorité de nos données)“. Concrètement, les fuites ne concerneraient ni les utilisateurs ni leurs données bancaires ou d’authentification.
Reste à voir ce que les hackers exigeront en échange du code source. Il y a cinq ans, Reddit avait déjà été victime d’une attaque similaire, sans que les utilisateurs aient été directement impactés. Depuis quelques semaines, les attaques se multiplient : la dernière en date a eu lieu il y a quelques jours contre Riot Games, avec le vol du code source du jeu League of Legends et Teamfight Tactics. Les pirates avaient demandé une rançon à l’éditeur, il y a fort à parier que le modus operandi sera le même cette fois.
Comment se protéger ?
Si l’attaque contre Reddit ne concerne pas les utilisateurs, la firme a tout de même profité de l’occasion pour rappeler quelques règles de sécurité essentielles auprès des internautes. L’entreprise a notamment recommandé d’utiliser systématiquement l’authentification à double facteur, de ne jamais partager son mot de passe, et de rester vigilants avec les messages reçus, même lorsque ces derniers ont l’air fiables.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
