Systèmes Reddit piratés, anciennes informations personnelles volées

Êtes-vous utilisateur de Reddit ? Depuis combien de temps l’utilisez-vous ? L’avez-vous utilisé en 2007 ? Il est difficile de s’en souvenir, n’est-ce pas ? Si vous parvenez à le déterminer et que vous l’avez utilisé il y a plus d’une décennie en 2007, vos informations personnelles peuvent avoir été volées. Des hackers ont pénétré les systèmes de Reddit et volé un lot de données utilisateur, mais ce sont des données qui ont onze ans.

La violation

Bien sûr, Reddit est un excellent endroit si vous aimez lire les nouvelles et en discuter. Cela a toujours été le cas, en fait, depuis 2005. Vous n’avez même pas besoin de vous inscrire pour lire le contenu, mais si vous souhaitez soumettre vos propres nouvelles, voter sur celles des autres ou discuter de ce que vous lisez, vous devez avoir un compte.

Les systèmes Reddit ont été piratés à la mi-juin, avec la découverte le 19 juin. Les informations personnelles volées comprenaient des adresses e-mail actuelles et des mots de passe de 2007.

“ Depuis lors, nous menons une enquête minutieuse pour déterminer précisément ce qui a été accédé et pour améliorer nos systèmes et nos processus afin d’éviter que cela ne se reproduise, ” a déclaré le directeur technique de Reddit et ingénieur fondateur, Christopher Slowe, dans un post sur Reddit.

Le problème de l’authentification par SMS

Ce qui a rendu la violation possible, c’est que Reddit utilisait une forme obsolète d’authentification à deux facteurs sur les comptes des employés, selon Slowe. Lorsqu’un employé se connectait, il recevait un message SMS avec un code à usage unique à entrer après son mot de passe. Mais ce système n’est plus considéré comme sécurisé, car il est trop facile pour les attaquants d’intercepter les codes des messages.

“ Nous avons appris que l’authentification par SMS n’est pas aussi sécurisée que nous l’espérions, et la principale attaque était via l’interception de SMS, ” a expliqué Slowe. Heureusement, ils changent leur système de connexion des employés afin qu’un tel incident ne se reproduise plus.

Les mots de passe qui ont été volés étaient hachés, ce qui signifie qu’ils ont été soumis à un processus de cryptage pour les brouiller dans une longue chaîne de caractères aléatoires afin de rendre plus difficile leur reconstitution. Mais le hachage s’est amélioré au cours de la dernière décennie, et ces anciennes techniques sont désormais jugées faciles à déchiffrer.

L’Institut national des normes et de la technologie des États-Unis a déclaré en 2016 qu’il ne recommanderait pas l’authentification par SMS à l’avenir. Un an plus tard, ils ont publié un guide officiel montrant les risques encourus lorsqu’une authentification par SMS est utilisée pour sécuriser les systèmes d’une organisation.

Slowe a admis qu’ils n’avaient pas toujours pu éviter d’utiliser l’authentification par SMS en raison des logiciels tiers qu’ils utilisaient. Cependant, Slowe rapporte qu’ils “ont depuis résolu cela.” Il a ajouté, “Nous le soulignons pour encourager tout le monde ici à passer à l’authentification à deux facteurs basée sur des jetons.”

Avancer

Êtes-vous inquiet de ne pas avoir changé votre mot de passe Reddit depuis 2007 ? Slowe a déclaré qu’ils vous contacteraient si vous étiez affecté par cette violation. Si votre mot de passe a été compromis et que vous continuez à l’utiliser, vous devrez le réinitialiser. Mais franchement, à ce stade, je ne vois pas pourquoi vous ne voudriez pas le réinitialiser.

“Que Reddit vous invite ou non à changer votre mot de passe,” a ajouté Slowe, “pensez à savoir si vous utilisez toujours le mot de passe que vous avez utilisé sur Reddit il y a onze ans sur d’autres sites aujourd’hui.”

Êtes-vous inquiet que votre mot de passe de 2007 ait été compromis ? Utilisiez-vous Reddit à l’époque et avez oublié tout cela, laissant votre mot de passe vulnérable ? Faites-nous savoir où vous en êtes avec cette violation de Reddit.