রেডডিট নিশ্চিত করেছে যে হ্যাকাররা “অত্যন্ত টার্গেটেড” ফিশিং আক্রমণের পরে অভ্যন্তরীণ নথি এবং সোর্স কোডে অ্যাক্সেস পেয়েছে।
Reddit CTO ক্রিস্টোফার স্লো, বা KeyserSosa-এর একটি পোস্টে ব্যাখ্যা করা হয়েছে যে কোম্পানি 5 ফেব্রুয়ারী রেডডিট কর্মীদের লক্ষ্য করে “অত্যাধুনিক” আক্রমণ সম্পর্কে সচেতন হয়েছিল। তিনি বলেছেন যে একজন অজ্ঞাতনামা হামলাকারী ওই কর্মচারীদের “প্রমাণযোগ্য শব্দের প্রম্পট” পাঠিয়েছে। শংসাপত্র এবং দ্বি-ফ্যাক্টর প্রমাণীকরণ টোকেন চুরি করার প্রয়াসে Reddit-এর ইন্ট্রানেট পোর্টাল হিসাবে জাহির করা একটি ওয়েবসাইটে।
স্লো বলেছেন যে “অনুরূপ ফিশিং প্রচেষ্টা” সম্প্রতি রিপোর্ট করা হয়েছে, নির্দিষ্ট উদাহরণ উদ্ধৃত না করে। যাইহোক, তিনি লঙ্ঘনটিকে সাম্প্রতিক রায়ট গেমস হ্যাকের সাথে তুলনা করেছেন, যেখানে আক্রমণকারীরা কোম্পানির পুরানো অ্যান্টি-হিট সিস্টেমের সোর্স কোডে অ্যাক্সেস পেতে সামাজিক প্রকৌশল কৌশল ব্যবহার করেছিল।
রেডডিট বলেছে যে হ্যাকাররা সফলভাবে একজন একক কর্মচারীর শংসাপত্র পেয়েছে, তাদের অভ্যন্তরীণ নথি এবং সোর্স কোডের পাশাপাশি কিছু অভ্যন্তরীণ ড্যাশবোর্ড এবং কোম্পানির সিস্টেমগুলিতে অ্যাক্সেস দিয়েছে।
স্লো বলেছেন যে ফিশিং অপারেটিভ নিজেই রেডডিটের নিরাপত্তা দলকে ঘটনাটি রিপোর্ট করার পরে কোম্পানি লঙ্ঘন সম্পর্কে জানতে পেরেছিল, এটি দ্রুত অনুপ্রবেশকারীদের কেটে ফেলার এবং একটি অভ্যন্তরীণ তদন্ত শুরু করার অনুমতি দেয়।
রেডডিট, যার দৈনিক 50 মিলিয়নেরও বেশি ব্যবহারকারী রয়েছে, তদন্তে উপসংহারে বলা হয়েছে যে এটি “শতশত” বর্তমান এবং প্রাক্তন কর্মচারীদের পাশাপাশি নির্দিষ্ট বিজ্ঞাপনদাতার তথ্যের জন্য সীমিত যোগাযোগের তথ্যও অ্যাক্সেস করেছে। যাইহোক, সংস্থাটি বলেছে যে ব্যবহারকারীর ব্যক্তিগত ডেটা এবং অন্যান্য অ-পাবলিক ডেটা চুরি, প্রকাশ বা অনলাইনে বিতরণ করা হয়েছে এমন পরামর্শ দেওয়ার “কোন প্রমাণ” নেই।
যাইহোক, Reddit সুপারিশ করেছে যে সমস্ত ব্যবহারকারী তাদের অ্যাকাউন্টে 2FA সেট আপ করুন এবং একটি পাসওয়ার্ড ম্যানেজার ব্যবহার করুন। “মহৎ জটিল পাসওয়ার্ড ছাড়াও, তারা একটি ফিশিং সাইটে আপনার পাসওয়ার্ড ব্যবহার করার আগে আপনাকে সতর্ক করে নিরাপত্তার একটি অতিরিক্ত স্তর প্রদান করে,” স্লো বলেছেন৷
“আমরা তদন্ত চালিয়ে যাচ্ছি এবং পরিস্থিতি নিবিড়ভাবে পর্যবেক্ষণ করছি এবং আমাদের নিরাপত্তা দক্ষতা জোরদার করতে আমাদের কর্মীদের সাথে কাজ করছি,” তিনি যোগ করেছেন। “আমরা সবাই জানি, মানুষ প্রায়ই নিরাপত্তা চেইনের সবচেয়ে দুর্বল অংশ।”
রেডডিট 2018 সালে আরও গুরুতর ডেটা লঙ্ঘনের শিকার হয়েছিল যেখানে আক্রমণকারীরা একটি অ্যাক্সেস পেয়েছে 2007 থেকে Reddit ডেটার সম্পূর্ণ অনুলিপি, যার মধ্যে সাইটের প্রথম দুই বছরের অপারেশন রয়েছে। এর মধ্যে রয়েছে ব্যবহারকারীর নাম, হ্যাশ করা পাসওয়ার্ড, ইমেল, সর্বজনীন বার্তা এবং ব্যক্তিগত বার্তা।