"Pas aussi sûr que nous l’espérions" : quand la double-authentification par SMS compromet la sécurité de Reddit !

Un "incident de sécurité" ; voilà comment la plateforme communautaire explique tant bien que mal l'intrusion dans ses bases de données, effectuée entre le 14 et le 18 Juin dernier...

 

 

"L’attaquant n’a pas eu accès en écriture aux systèmes : il a eu accès en lecture seule à des systèmes qui contenaient des données de sauvegarde, du code source et d’autres journaux d’évènement. Il n’a pas été en mesure de modifier les informations de Reddit, et nous avons pris des mesures à la suite de cet évènement pour verrouiller [...] et pour améliorer nos systèmes de journalisation et de surveillance", est-il ainsi expliqué en toute transparence dans le communiqué de Reddit, datant du 2 Août 2018. Dans les faits, entre 2005 (année de création du site communautaire) et 2007, l'ensemble des comptes est concerné (pseudonyme, mots de passe hachés et salés, mails et "tout contenus", à savoir les messages aussi bien privés que publiques. De plus, du fait que la fuite à pris son sein depuis des comptes employés vulnérables à l'attaque (basées sur la double-authentification, "2FA", par SMS), les envois de mails aux usagers (dans leur boîte mail), courant Juin dernier - entre le 3 et le 17 Juin 2018, précisément - ont également fait l'objet de cette attaque (nom-utilisateur et adresse mail associée au compte).

Reddit a annoncé un renforcement sécuritaire au niveau de la journalisation, du cryptage des données mais, surtout, de la 2FA qui a été le vecteur principal de cette intrusion malveillante : le SMS fera place à une application dédiée (QR code). Gageons que cela achèvera de combler cette vulnérabilité, découverte par la plateforme le 19 Juin 2018... A veiller !

 

Source : Reddit - 2 Août 2018 - Intrusion sécuritaire base de données pour les comptes créées entre 2005 et 2007 + mailing Juin 2018.