Proponha uma correção, faça uma sugestão
Hackers atacaram Reddit para roubar dados dos utilizadores e o seu código fonte
Os perigos na Internet são muitos e os hackers estão constantemente a tentar encontrar falhas para atacar os serviços e os utilizadores. O mais recente ataque veio colocar em risco o conhecido Reddit, que viu os seus serviços comprometidos, apenas para roubar dados dos utilizadores e o seu código-fonte.
Hacker atacaram o Reddit e os seus funcionários
Foi no passado domingo que o Reddit sofreu o seu mais recente ataque, permitindo que os hackers acedessem aos seus sistemas. Durante esta violação dos sistemas deste serviço, os atacantes acederam aos sistemas internos do negócio e roubaram documentos internos e código-fonte.
A empresa revelou que diz que os hackers usaram uma técnica aparentemente normal de phishing, focada nos funcionários do Reddit. Era apenas uma página web que simulava o seu site na Intranet. Este site falso tentou roubar as credenciais dos funcionários e os tokens de autenticação de dois fatores destes.
Infelizmente os atacantes tiveram sucesso e conseguiram que um funcionário foi vítima do ataque de phishing. Assim que percebeu o problema, este mesmo funcionário deu o alerta e o Reddit começou de imediato a investigar o sucedido e o impacto. Naturalmente que o ponto de entrada dos atacantes foi também bloqueado.
Ataque queria roubar dados dos utilizadores
Apesar de ter os seus sistemas violados, o Reddit concluiu por agora que não tem indícios de que os seus sistemas primários de produção tivessem sido violados. O acesso que existiu ainda assim deu acesso a contactos de prestadores de serviços e de funcionários da empresa, bem como informações limitadas de anunciantes.
Ainda mais importante é que os dados dos utilizadores parecem ter ficado intocados. Não houve indicações também de que tenham conseguido violar os sistemas de produção usados no site, ou seja, não recolheram informações dos visitantes.
A investigação deste incidente vai continuar durante as próximas semanas, para garantir que seja descoberto o seu real impacto. O Reddit comprometeu-se a revelar toda a informação importante e a alertar os utilizadores. Até lá, e mesmo no futuro, a utilização de autenticação de 2 fatores continua a ser o conselho mais lógico para quem usa o serviço.
Este artigo tem mais de um ano
Loading ...
O Reddit tem uma vantagem em relação a outros serviços, permite ter conta sem e-mail, ou seja: é mais difícil identificar a quem pertence a conta, e de utilizar os dados privados para tentar outros ataques. O serviço não precisa dessa informação, e eles não a exigem (pelo menos até agora).
Por outro lado para activar o segundo factor eles exigem um e-mail… enfim.
Um ataque “sofisticado”… bastava terem feito como a Google fez há anos e adoptarem o FIDO U2F ou FIDO2 e o funcionário não poderia ter caído no golpe da página falsa, desde que não houvesse forma de contornar a medida de segurança (FIDO U2F/ FIDO2). Estas empresas nunca aprendem, por vezes nem sendo atacados repetidamente e caindo no mesmo erro várias vezes.
Sinto-me preocupadíssimo! 🙂
Não estás mas devias de te sentir preocupadíssimo. Não tens contas/registos? Um e-mail que seja? Pensas que onde tens contas é seguro? Não há sistemas seguros!
Também ando de carro e não penso nos acidentes mas posso preveni-los com condução defensiva.
Meu amigo, eu não penso nada. É o que está escrito: Sinto-me preocupadíssimo!