Reddit fue vulnerado por cibercriminales

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

El sitio web del foro Reddit ha confirmado que fue víctima de una violación de datos que ha comprometido los nombres de usuario, contraseñas y direcciones de correo electrónico, pero no ha confirmado el tamaño de la violación.

El sitio web confirmó que los cibercriminales habían accedido a dos conjuntos de datos al ingresar utilizando cuentas de empleados comprometidas, una de 2007 que incluía detalles de la cuenta y todas las publicaciones públicas y privadas entre 2005 y mayo de 2007.

También se accedió a un segundo grupo de datos probablemente más grande entre el 3 y el 17 de junio de este año, que incluyó registros y bases de datos vinculados a los resúmenes diarios de correo electrónico que Reddit envía a los usuarios.

Esta información incluye nombres de usuario y direcciones de correo electrónico vinculadas a esas cuentas.

La firma dijo que descubrió la brecha el 19 de junio, y que el ataque tuvo lugar durante los cuatro días previos.

Reddit dijo que se trataba de cuentas de usuarios de mensajes “si existe la posibilidad de que las credenciales reflejadas reflejen la contraseña actual de la cuenta” e instó a los usuarios a verificar sus buzones de entrada de Reddit y sus correos electrónicos para determinar si se vieron afectados por alguna violación.

El foro dijo que se había accedido a las cuentas de los empleados cuando los hackers pudieron violar la autenticación de dos factores utilizada para confirmar el inicio de sesión.

Utilizaba un sistema de mensajes de texto que requería que los empleados ingresaran un código que se les enviaba por SMS, así como los datos de inicio de sesión normales cuando intentaban acceder al sitio.

SMS

Sin embargo, Reddit dijo que los cibercriminales habían interceptado esos mensajes de texto.

En respuesta al ataque, los expertos en ciberseguridad han advertido a los usuarios que estén atentos a cualquier estafa de suplantación de identidad que pueda intentarse utilizando los datos robados.

 

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS