Reddit 遭受安全漏洞,暴露了内部文件和源代码。
社交新闻聚合平台Reddit遭受了一次安全事故,未知的威胁行为者成功获取了内部文件、代码和一些未具体说明的业务系统。该公司将此归咎于一次“复杂而高度定向的网络钓鱼攻击”,发生在2023年2月5日,针对其员工。攻击涉及发送“听起来合理的提示”,将其重定向到一个伪装成Reddit内部网络门户的网站,试图窃取凭据和双重身份验证(2FA)令牌。据称,以这种方式钓取了一个员工的凭据,使威胁行为者能够访问Reddit的内部系统。该公司强调,没有证据表明其生产系统受到入侵,也没有用户的非公开数据被泄露。泄露包括公司联系人和员工的有限联系信息,以及有限的广告商信息。Reddit表示,最近还报告了类似的网络钓鱼攻击,但未提及任何具体名称。该事件再次表明,威胁行为者越来越能够通过设置外观相似的页面来打败双重身份验证,从而进行中间人攻击。
社交新闻聚合平台 Reddit 披露称,其遭受了一次安全事故,未知的威胁行为者成功未经授权地获取了内部文件、代码和一些未具体说明的业务系统。
该公司将此归咎于一次“复杂而高度定向的网络钓鱼攻击”,发生在2023年2月5日,针对其员工。
攻击涉及发送“听起来合理的提示”,将其重定向到一个伪装成 Reddit 内部网络门户的网站,试图窃取凭据和双重身份验证(2FA)令牌。
据称,以这种方式钓取了一个员工的凭据,使威胁行为者能够访问 Reddit 的内部系统。该受影响的员工自报了此次黑客攻击。
然而,该公司强调,没有证据表明其生产系统受到入侵,也没有用户的非公开数据被泄露。目前也没有迹象表明被访问的信息已在网上发布或分发。
“泄露包括(目前数百个)公司联系人和员工(现任和前任)的有限联系信息,以及有限的广告商信息。”Reddit表示。
它进一步指出,“最近还报告了类似的网络钓鱼攻击”,但未提及任何具体名称。该公司未透露在安全事故后访问的源代码是什么。
此次事件再次表明,威胁行为者越来越能够通过设置外观相似的页面来打败双重身份验证,从而进行中间人攻击。
关于作者
评论0次