La plataforma de redes sociales Reddit se ha movido para asegurar a sus usuarios que sus datos están seguros, luego de un ataque cibernético en sus sistemas que vio a un actor de amenazas no especificado obtener acceso no autorizado a una cantidad limitada de documentos internos, código y algunos sistemas comerciales internos.
La violación de datos salió a la luz por primera vez el domingo 5 de febrero, cuando el equipo de seguridad de Reddit se dio cuenta del ataque de phishing “sofisticado” y dirigido, en el que los empleados de Reddit fueron atacados con mensajes de correo electrónico aparentemente plausibles que los dirigían a una versión clonada de su puerta de enlace de intranet.
Desafortunadamente, convencieron a un empleado de Reddit para que ingresara sus credenciales y usó un token de autenticación multifactor (MFA) en la puerta de enlace clonada, lo que le dio acceso al actor de amenazas a los sistemas internos de Reddit.
Sin embargo, no hay evidencia en esta etapa de ninguna violación de los sistemas de producción primarios de la organización, es decir, las partes de su pila de TI que ejecutan el sitio web de Reddit y almacenan la mayoría de sus datos de usuario.
“La exposición incluyó información de contacto limitada para, actualmente cientos de, contactos y empleados de la compañía, actuales y anteriores, así como información limitada del anunciante”, dijo el director de tecnología de Reddit, Chris Slowe (también conocido como KeyserSosa), en una publicación en el subreddit r/reddit, detallando el incidente.
“Según varios días de investigación inicial por parte de seguridad, ingeniería y ciencia de datos, y amigos, no tenemos evidencia que sugiera que se haya accedido a ninguno de sus datos no públicos, o que la información de Reddit se haya publicado o distribuido en línea.
“Poco después de ser phishing, el empleado afectado se autoinformó y el equipo de seguridad respondió rápidamente, eliminando el acceso del infiltrado y comenzando una investigación interna. Recientemente se han informado ataques de phishing similares”.
Slowe agregó: “Continuamos investigando y monitoreando la situación de cerca y trabajando con nuestros empleados para fortalecer nuestras habilidades de seguridad. Como todos sabemos, el ser humano suele ser la parte más débil de la cadena de seguridad. Nuestro objetivo es comprender completamente y prevenir futuros incidentes de esta naturaleza”.
Independientemente del impacto en ellos, aconsejó a los usuarios de Reddit configurar MFA en sus cuentas de Reddit para agregar capas adicionales de seguridad al acceder al servicio y usar contraseñas seguras y únicas que se cambian con frecuencia.
Lecciones aprendidas
Agregó que el impacto de la filtración puede haber disminuido gracias a las lecciones aprendidas de un incidente anterior en 2018, que expuso las direcciones de correo electrónico de los usuarios y extrajo contraseñas de una base de datos que data de 2007.
El ataque de 2018 explotó vulnerabilidades en MFA basado en SMS para eludir los controles de seguridad que deberían haber evitado que ocurriera el incidente. Reddit luego se alejó de MFA basado en SMS.
Javvad Malik, principal defensor de la conciencia de seguridad en KnowBe4, describió la respuesta de Reddit al último incidente como “ejemplar”.
“Si bien una infracción o un incidente nunca es algo agradable, adelantarse al hecho con transparencia y consejos prácticos siempre es bueno”, dijo Malik.
“Vemos en este incidente que, a pesar de que aparentemente tenía MFA, un usuario aún sufrió phishing, lo que sirve como un recordatorio oportuno de que ninguna capa de protección será completamente infalible.
“Quizás la conclusión más importante para las organizaciones de este incidente es que el usuario que fue objeto de phishing se dio cuenta de su error e informó el problema, lo que permitió que el equipo de seguridad de Reddit investigara rápidamente el problema”, agregó. “Es por eso que la capacitación de los usuarios es tan importante, para que las personas no solo puedan identificar un correo electrónico de phishing, sino que también sepan cómo denunciarlo.
“Sin embargo, vale la pena recordar que tener un método para denunciar el phishing es una cosa, pero es importante tener una cultura de seguridad que permita a los empleados informar problemas con confianza sin temor a repercusiones negativas”.