Reddit遭钓鱼攻击，攻击者已获得内部权限

据BleepingComputer消息，全球最大社交新闻站点Reddit在当地时间2月5日晚间遭到了网络钓鱼攻击。

该公司表示，攻击者使用了一种针对 Reddit 员工的网络钓鱼诱饵，通过冒充其内部网站的登陆页面，试图窃取双因素验证码，从而获得员工账户凭证。目前已有一名员工的凭证不慎被窃取，攻击者因此获得了对一些内部文档、代码以及一些内部后台和业务系统的访问权限。

Reddit称，这名员工在主动报告异常后，安全团队迅速做出反应，取消了攻击者的访问权限并进行内部调查。

Reddit 表示，虽然公司相关联系人以及员工的部分信息被窃取，但没有迹象表明攻击者破坏了用于运行网站的生产系统，用户个人数据也未监测到泄露。虽然 Reddit 没有分享有关这次网络钓鱼攻击的任何细节，但他们提到和之前拳头公司遭遇的攻击类似，当时攻击者窃取了包括《英雄联盟》在内旗下多款游戏的源代码，并提出1000万美元的赎金要求。

2018年6月，Reddit也曾遭遇网络攻击，攻击者通过拦截双因素认证码短信来入侵其部分员工的账户，从而非法进入Reddit系统，盗取了部分用户数据，包括一些现有用户邮件地址以及一个创建于2007年的历史数据库及相关密码。

参考来源：

https://www.bleepingcomputer.com/news/security/hackers-breach-reddit-to-steal-source-code-and-internal-data/

精彩推荐