Le gang de ranongiciels BlackCat (ALPHV) est l’origine d’une cyberattaque en fvrier sur Reddit, o les acteurs malveillants prtendent avoir vol 80 Go de donnes l’entreprise. Le 9 fvrier, Reddit a rvl que ses systmes avaient t pirats le 5 fvrier aprs qu’un employ ait t victime d’une attaque de phishing. Cette attaque de phishing a permis aux acteurs malveillants d’accder aux systmes de Reddit et de voler des documents internes, du code source, des donnes sur les employs et des donnes limites sur les annonceurs de l’entreprise.
Reddit, la plateforme de discussion en ligne populaire, fait face une menace de la part dun groupe de pirates informatiques qui prtend avoir vol 80 Go de donnes confidentielles lors dune attaque en fvrier. Les pirates, qui se font appeler BlackCat ou ALPHV, exigent que Reddit leur verse 4,5 millions de dollars et quil annule sa nouvelle politique de tarification controverse pour les applications tierces qui accdent son API.
Selon un post du groupe sur le dark web, que CNN et un expert en cyberscurit indpendant ont pu consulter, les pirates ont russi pntrer dans les systmes de Reddit grce une attaque de phishing sophistique et hautement cible en fvrier. Ils affirment avoir accd des documents internes, du code et certains systmes internes dentreprise .
Un porte-parole de Reddit a confirm CNN que les revendications de BlackCat sont lies lincident de scurit signal par le CTO de Reddit, Chris Slowe (aussi connu sous le pseudonyme KeyserSosa), dans un post en fvrier. Slowe avait alors dclar que seules les donnes des employs avaient t compromises et quil ny avait aucune preuve que les donnes personnelles des utilisateurs, telles que les mots de passe et les comptes, aient t voles.
Sur la base de notre enqute jusqu’ prsent, les mots de passe et les comptes des utilisateurs Reddit sont srs, mais dimanche soir (heure du Pacifique), les systmes Reddit ont t pirats la suite d’une attaque de phishing sophistique et trs cible. Ils ont eu accs certains documents internes, du code et certains systmes commerciaux internes.
Ce qui s’est pass?
la fin du 5*fvrier*2023 (PST), nous avons pris connaissance d’une campagne de phishing sophistique qui ciblait les employs de Reddit. Comme dans la plupart des campagnes de phishing, l’attaquant a envoy des invites plausibles pointant les employs vers un site Web qui a clon le comportement de notre passerelle intranet, dans le but de voler des informations d’identification et des jetons de second facteur.
Aprs avoir russi obtenir les informations d’identification d’un seul employ, l’attaquant a eu accs certains documents internes, du code, ainsi qu’ certains tableaux de bord internes et systmes d’entreprise. Nous ne montrons aucune indication de violation de nos principaux systmes de production (les parties de notre pile qui excutent Reddit et stockent la majorit de nos donnes).
L’exposition comprenait des informations de contact limites pour (actuellement des centaines) de contacts et d’employs de l’entreprise (actuels et anciens), ainsi que des informations limites sur les annonceurs. Sur la base de plusieurs jours d’enqute initiale par la scurit, l’ingnierie et la science des donnes (et amis !), nous n’avons aucune preuve suggrant que l’une de vos donnes non publiques a t consulte, ou que les informations de Reddit ont t publies ou distribues en ligne.
La polmique autour de la tarification de son API
L’API de Reddit restera gratuite pour les dveloppeurs qui souhaitent crer des applications et des robots qui aident les gens utiliser Reddit, ainsi que pour les chercheurs qui souhaitent tudier Reddit des fins strictement acadmiques ou non commerciales. Mais les entreprises qui explorent Reddit la recherche de donnes et ne rendent aucune partie de cette valeur aux utilisateurs devront payer , a dclar le co-fondateur et PDG de Reddit, Steve Huffman, au Times.
C’est le bon moment pour nous de resserrer les choses , a dclar Huffman. Nous pensons que c’est juste .
Cette dcision intervient alors que Reddit cherche des moyens de montiser sa vaste gamme de contenus gnrs par les utilisateurs, qui, comme le note The Times, a t de plus en plus utilis pour former des modles d’apprentissage automatique gnrant du texte de haut niveau tels que ChatGPT et GPT-4 d’OpenAI. En 2019, Reddit comptait plus de 430 millions d’utilisateurs actifs par mois dans plus de 1,2 million de communauts d’intrts particuliers, dont 138 000 sont actives.
Huffman a dclar au Times qu’il pensait que les donnes de Reddit taient particulirement prcieuses car elles taient continuellement mises jour.
Le corpus de donnes Reddit est vraiment prcieux , a-t-il rpt. Plus que tout autre endroit sur Internet, Reddit est un lieu de conversation authentique. Il y a beaucoup de choses sur le site que vous ne diriez jamais qu’en thrapie, ou AA, ou jamais du tout Mais nous n’avons pas besoin de donner gratuitement toute cette valeur certaines des plus grandes entreprises du monde .
Les actionnaires pourraient tre la motivation. En avril, lors de cette indication, Reddit n’avait pas encore annonc les dtails de la tarification de son API. Mais la socit se prpare une introduction en bourse potentielle plus tard cette anne, et les investisseurs rechercheront une croissance ou de nouveaux flux de revenus.
Une ranon et une revendication
Les pirates ont contact Reddit deux reprises (une fois en avril et une autre fois vendredi dernier) pour demander une ranon de 4,5 millions de dollars pour la suppression des donnes et notre silence .
Je leur ai dit dans mon premier e-mail que j’attendrais leur introduction en bourse. Mais cela semble tre l’occasion idale ! Nous sommes trs confiants que Reddit ne paiera pas d’argent pour leurs donnes , a not l’oprateur du ransomware.
Mais je suis trs heureux de savoir que le public pourra lire toutes les statistiques qu’ils suivent sur leurs utilisateurs et toutes les donnes confidentielles intressantes que nous avons prises. Saviez-vous qu’ils rduisent galement leurs utilisateurs au silence comme mesure de censure*? Avec des artefacts de leur GitHub*!
Article « The Reddit Files » sur le site de fuite de donnes BlackCat
Nayant pas reu de rponse, ils ont ajout une autre exigence : que Reddit retire sa nouvelle politique de tarification pour son API, qui a provoqu la protestation de certains des utilisateurs les plus influents de la plateforme.
Cette politique prvoit de facturer des frais levs aux applications tierces qui utilisent lAPI de Reddit pour accder ses contenus et ses fonctionnalits.
Plusieurs applications tierces populaires, comme Apollo et Narwhal, ont annonc quelles devraient fermer ou augmenter leurs prix cause de cette mesure. Plus de 6 000 forums Reddit sont passs en mode priv la semaine dernire pour exprimer leur mcontentement – certains, comme r/music et r/videos, comptent des millions dabonns.
Certains experts sont sceptiques quant aux motivations relles de BlackCat. Brett Callow, analyste des menaces chez la socit de cyberscurit Emsisoft, qui a examin le post sur le dark web, a dclar CNN : Je souponne que ALPHV ne se soucie pas rellement du prix de lAPI. Ils veulent simplement que les futures victimes voient quel point ils peuvent causer du tort pour augmenter la probabilit quelles dcident que le paiement est loption la moins douloureuse .
Le PDG de Reddit insulte les manifestants et se plaint de ne pas gagner assez d’argent avec les utilisateurs de Reddit
Steve Huffman, le PDG de Reddit, a dcid de continuer parler. Aprs que son AMA (Ask Me Anything, un concept dvnement de questions-rponses, gnralement lcrit, popularis par Reddit) dsastreux ait aid inspirer plus de sous-reddits rejoindre le mouvement de grve de 48 heures, et que son rejet des sous-reddits protestataires comme quelque chose qui ne valait pas la peine d’y prter attention a conduit de nombreux sous-reddits prolonger indfiniment leurs protestations, Huffman a apparemment pens qu’il serait logique d’aller faire un tas d’interviews et d’insulter encore plus les mods protestataires.
Sur NPR par exemple, il a dclar :
C’est un petit groupe qui est trs boulevers, et il n’y a pas moyen de contourner cela. Nous avons pris une dcision commerciale qui les a bouleverss [ ce moment l, prs de 9 000 subreddits – des communauts d’intrts particuliers – avaient organis un boycott de 48 heures]. Mais je pense que la grande communaut Reddit veut juste participer avec les autres membres de la communaut.
Un internaute a comment son entretien en ces termes :
La deuxime partie est correcte, bien sr. Mais c’est aussi hors de propos. Bien sr, la grande communaut Reddit veut juste participer. Mais la raison pour laquelle ils protestent est que la propre dcision de Huffman de couper effectivement leur API rend plus difficile la participation.
Et, encore une fois, ce genre de signe de protestation est insultant*:
La manifestation, ce qu’elle affecte vraiment, ce sont les utilisateurs quotidiens, dont la plupart ne sont pas impliqus dans cela ou dans les changements qui l’ont provoqu , a dclar Huffman.
Bien sr, la plupart des utilisateurs ne sont pas impliqus dans cela, mais ce sont les personnes qui comprennent quel point cela cause des dommages au site gnralement les utilisateurs les plus passionns de la plateforme qui essaient de faire valoir leur point de vue et de faire passer le mot.
Mais, vraiment, la ligne qui m’a le plus attir est celle-ci:
Reddit reprsente l’un des plus grands ensembles de donnes d’tres humains parlant de choses intressantes , a dclar Huffman. Nous ne sommes pas l pour donner cela gratuitement .
Je veux dire putain de merde mec. Tu t’coutes ? D’o vient cet ensemble de donnes d’tres humains parlant de choses intressantes *? Il est venu de millions de personnes qui vous ont donn ce contenu gratuitement. Et beaucoup d’entre eux ont utilis le site via des applications tierces, car ces applications ont rendu votre site beaucoup plus utile sans vous facturer un centime.
L’habilet de Huffman est stupfiante.
Il a obtenu du contenu gratuit et du travail de dveloppement d’applications gratuites et maintenant il se plaint du fait que nous ne sommes pas l pour donner cela gratuitement .
Ensuite, il a fait une interview avec NBC News, o il parle de son plan pour retirer les modrateurs protestataires de leurs subreddits et les remettre d’autres. S’il a raison de dire que parfois les modrateurs de subreddit peuvent se comporter en petits dictateurs avides de pouvoir, mais ce n’est pas la motivation derrire sa dcision. Il le fait clairement pour se venger des mods protestataires*:
Huffman a dclar dans une interview qu’il prvoyait d’instituer des changements de rgles qui permettraient aux utilisateurs de Reddit de voter contre les modrateurs qui ont supervis la manifestation, en les comparant une « gentry terrienne » , a expliqu NBC News.
Une plateforme vulnrable
Ce nest pas la premire fois que Reddit est victime dune attaque informatique. En 2018, la plateforme avait subi une intrusion qui avait permis aux pirates daccder une copie complte des donnes de Reddit datant de 2007. Cela comprenait les noms dutilisateur, les mots de passe hachs, les emails, les posts publics et les messages privs. La popularit de Reddit en fait une cible de choix pour les cybercriminels, mais aussi pour les activistes qui veulent influencer lopinion publique.
Sources : billet du CTO de Reddit, NBC News, NPR
Et vous ?
Que pensez-vous de la menace des pirates de divulguer les donnes de Reddit ?
Comment Reddit pourrait-il renforcer sa scurit et protger ses utilisateurs ?
Quelle est votre opinion sur la nouvelle politique de tarification de lAPI de Reddit ?
Que pensez-vous des propos tenus par le PDG de Reddit devant les mdias ?