Reddit遭钓鱼攻击,攻击者已获得内部权限

  据 BleepingComputer 消息,全球最大社交新闻站点 Reddit 在当地时间 2 月 5 日晚间遭到了网络钓鱼攻击。

  该公司表示,攻击者使用了一种针对 Reddit 员工的网络钓鱼诱饵,通过冒充其内部网站的登陆页面,试图窃取双因素验证码,从而获得员工账户凭证。目前已有一名员工的凭证不慎被窃取,攻击者因此获得了对一些内部文档、代码以及一些内部后台和业务系统的访问权限。

  Reddit 称,这名员工在主动报告异常后,安全团队迅速做出反应,取消了攻击者的访问权限并进行内部调查。

  Reddit 表示,虽然公司相关联系人以及员工的部分信息被窃取,但没有迹象表明攻击者破坏了用于运行网站的生产系统,用户个人数据也未监测到泄露。虽然 Reddit 没有分享有关这次网络钓鱼攻击的任何细节,但他们提到和之前拳头公司遭遇的攻击类似,当时攻击者窃取了包括《英雄联盟》在内旗下多款游戏的源代码,并提出 1000 万美元的赎金要求。

  2018 年 6 月,Reddit 也曾遭遇网络攻击,攻击者通过拦截双因素认证码短信来入侵其部分员工的账户,从而非法进入 Reddit 系统,盗取了部分用户数据,包括一些现有用户邮件地址以及一个创建于 2007 年的历史数据库及相关密码。

  参考来源:Hackers breach Reddit to steal source code and internal data