Reddit reconoce haber padecido una brecha de datos tras un ciberataque

La red social Reddit reconoció ayer haber padecido una brecha de seguridad. Según la propia plataforma, “entre el 14 y el 18 de junio, un atacante comprometió algunas cuentas de los empleados vinculadas a los proveedores de almacenamiento de código y cloud”. El ataque no fue detectado hasta el día 19.

Reddit había tomado hace tiempo ciertas medidas para evitar en lo máximo posible los accesos por parte de personas ajenas a las cuentas de sus empleados, utilizando para ello la autenticación en dos pasos. Sin embargo, dicho proceso de acceso se apoyaba en SMS, una tecnología cuya seguridad está puesta en duda desde hace años. Al parecer el atacante habría utilizado algún tipo de ataque de interceptación para hacerse con los SMS y acceder a la plataforma con el fin de robar datos sensibles importantes, entre los que se encontrarían algunos datos de usuario como los emails enviados desde el servicio en junio de 2018 y una copia de seguridad de una base de datos de 2007 con contraseñas viejas cifradas y con sal.

Afortunadamente, el atacante solo consiguió acceso en modo de solo lectura, así que no pudo modificar nada de lo alojado en Reddit, pero sí ha podido copiar ficheros como copias de seguridad, código fuente y algunos registros. Con el fin de que esto no vuelva a suceder, los encargados de la red social han tomado medidas como bloquear y rotar con mayor frecuencia los secretos de producción y las claves de las API, mejorar sus sistemas de registro y monitorización, reportar a las fuerzas del orden lo sucedido y cooperar en la investigación, enviar mensajes a las cuentas de usuario si hay posibilidades de que las credenciales robadas puedan reflejar la contraseña actual (pudiendo iniciar un proceso de restablecimiento de contraseña) y se han tomado medidas adicionales para reforzar el acceso privilegiado a Reddit, como el cambiar los SMS por una autenticación en dos pasos basada en tokens, algo que desde la plataforma se recomienda hacer a todos sus usuarios.

Profundizando en los datos robados, la copia de seguridad de la base de datos de 2007 está completa, abarcando un periodo desde la puesta en marcha del sitio web en 2005 hasta mayo de 2007. Contiene nombres de usuario, contraseñas cifradas con sal, direcciones de email y todos los mensajes, que en su mayoría son públicos, pero también hay mensajes privados. Como medida de precaución, Reddit está enviando mensajes a los afectados y pidiendo el restablecimiento de la contraseña en caso de sospechar que los datos de acceso siguen siendo válidos en los momentos actuales. Si el usuario se ha registrado en una fecha posterior a mayo de 2007 no habría, según los encargados de la plataforma, de qué preocuparse.

Sobre los emails enviados en junio de 2018, se trata de unos registros con resúmenes de lo enviado desde Reddit entre los días 3 y 17 del mencionado mes. En ellos se conectan los nombres de usuario a las direcciones de correo asociadas y contienen publicaciones sugeridas en subreddits populares y subreddits seguros a los que suscribirse. En caso de no tener una dirección de correo asociada a la cuenta o no haber tenido activada la característica de “resumen por correo electrónico” durante el periodo mencionado, el usuario no se habrá visto afectado.

Pese a todo, y como solemos hacer en MuySeguridad, recomendamos a todos los usuarios de Reddit restablecer la contraseña cuanto antes para garantizar al máximo su seguridad, a ser posible empleando un gestor para la generación de la nueva contraseña.