Hva du trenger å vite
- Trusselaktører har fått tilgang til Reddits systemer og brukerdata gjennom et phishing-angrep i februar i år.
- Hackerne har stjålet interne dokumenter, kildekode, ansattes data og noe informasjon om Reddits annonsører.
- En løsepenge på 4,5 millioner dollar er krevd, eller angriperne truer med å lekke de stjålne dataene.
En gjeng med løsepenger har truet med å lekke Reddits konfidensielle data med mindre selskapet går tilbake på sine siste API-prisøkninger og betaler 4,5 millioner dollar.
Blødende datamaskin rapporterer at BlackCat har tatt på seg ansvaret for Reddit-angrepet 5. februar, da en ansatt ble offer for en phishing-kampanje. Som et resultat har rundt 80 GB med data som omfatter interne dokumenter, kildekode, ansattes kontaktdetaljer og begrenset annonsørinformasjon blitt kompromittert.
Hackerne forble anonyme inntil nylig, da BlackCat eide opp til angrepet og krevde en stor sum penger for de stjålne dataene. Trusselaktører vil også at Reddit skal reversere API-endringene, som
kan koste tredjeparts apputviklere millioner av dollar per år. De omstridt avgjørelse førte også til nylige protester på hele nettstedet der mange subreddits ble mørke, og begrenset synligheten til mange Reddit-innlegg.På tidspunktet for hacket, Reddit sa i et innlegg at det ikke var tegn til brudd på dets primære produksjonssystemer, der størstedelen av dataene lagres. I tillegg er det "ingen bevis som tyder på at noen av dine ikke-offentlige data har blitt åpnet, eller at Reddits informasjon har blitt publisert eller distribuert på nettet."
Men med den nylige trusselen om å lekke disse dataene hvis Reddit ikke etterkommer angripernes krav, kan det endre seg når som helst snart. Trusselaktørene hevdet i et innlegg på ransomware-gruppens datalekkasjeside, oppdaget av sikkerhetsforsker Dominic Alvieri, at de forsøkte å kontakte Reddit 13. april og 16. juni for å reise kravet, men det ble ikke mottatt noe svar.
BlackCats etterspørsel forverrer Reddits situasjon etter endringer i API-priser. Med den økte API-prisen satt til å tre i kraft 1. juli, har Reddit mindre enn to uker på seg til å ordne opp i ting eller risikere å få deres interne data eksponert for offentligheten.