Reddit最近在其网站上宣布了一个安全漏洞,披露了一个恶意行为者可以通过钓鱼活动获得对其内部服务器的访问权限。
Reddit安全漏洞
2023年2月5日,Reddit发现了一场针对其员工的网络钓鱼运动。攻击者使用“似是而非的声音提示”诱骗员工访问一个虚假网站,该网站似乎是该公司的内联网网关。不幸的是,至少有一名员工上当了,并输入了他们的登录凭据,为攻击者提供了访问内部文档、代码和一些业务系统的权限。
对这起事件的调查没有发现攻击者访问Reddit主要生产系统的证据,这些系统保存着该网站的大部分数据,包括用户数据。到目前为止,没有迹象表明任何非公开的用户数据,如电子邮件地址、保存的帖子或对话,已被发布或分发。
官方Reddit安全漏洞帖子
谢天谢地,落入钓鱼攻击的员工在事件发生后不久就向Reddit的安全团队报告了这一事件。该团队迅速更改了该账户的状态,移除了攻击者对Reddit系统的访问权限。
对安全漏洞的调查仍在进行中,Reddit尚未披露攻击者可能获得的信息的任何细节。
更改您的凭据
Reddit建议用户启用双因素身份验证,为他们的账户增加一层额外的保护。但是,重要的是要注意,单靠双因素身份验证可能不能提供针对网络钓鱼攻击的完全保护,特别是在用户是特定目标的情况下。
随着公司继续调查,Reddit对安全漏洞的初步评估是否成立仍有待观察。然而,用户可以采取措施保护他们的账户,比如启用双因素身份验证,并保持对网络钓鱼诈骗的警惕。当然,你可能想要更改你的Reddit密码,以更加谨慎。
通过Reddit
