En février dernier, la plateforme communautaire Reddit a été la victime d'une cyberattaque. À la suite d'une attaque de phishing présentée comme sophistiquée et très ciblée, les systèmes de Reddit ont été piratés et des attaquants ont eu accès à des documents, du code source et certains outils internes.
Pour cet incident de cybersécurité, Reddit a souligné une exposition d'informations limitées sur des centaines de contacts et d'employés de l'entreprise (actuels et anciens), ainsi que sur des annonceurs. L'enquête n'a révélé aucune preuve d'une consultation de données non publiques des utilisateurs, et pas de compromission de comptes.
L'attaque de phishing avait visé des employés de Reddit afin de les aiguiller vers un site web reproduisant le comportement de l'intranet du groupe. Le but étant de dérober des identifiants et des jetons (tokens) pour une authentification à deux facteurs. Cela a fait mouche auprès d'un employé, mais sans mettre en péril des systèmes de production.
En pleine polémique pour Reddit
Cette affaire ressurgit dans un contexte particulier pour Reddit. Le groupe de ransomware BlackCat (également connu en tant que AlphV ou Noberus) a menacé de publier 80 Go de données volées à Reddit (archive compressée) qu'il aurait en sa possession, si la somme de 4,5 millions de dollars n'est pas payée.
Une telle demande de rançon n'est désormais plus seule et s'accompagne d'une exigence. Il est demandé à Reddit de faire machine arrière concernant l'entrée en vigueur de changements pour l'accès à son API par des tiers. Un accès devenant payant qui a suscité la controverse, jusqu'à provoquer une " grève " de modérateurs de sous-forums (subreddits).
Source : BetterCyber (@_bettercyber_)
A priori, le patron de Reddit n'est pas disposé à faire machine arrière, mais c'était avant que l'ultimatum opportuniste du groupe BlackCat ne soit posé. D'après ce dernier, Reddit avait ignoré ses tentatives de contact.
Un groupe actif depuis 2021
Le groupe de ransomware BlackCat ne donne pas de date butoir pour l'exécution de sa menace. Il opère avec un modèle de RaaS (Ransomware-as-a-Service) et ses attaques par ransomware ont été déployées depuis novembre 2021.