Szybkie i przejrzyste działanie Reddit pokazuje, że istnieje właściwy sposób reagowania na incydenty związane z cyberbezpieczeństwem. Atak phishingowy na Reddit był poważny, natomiast to, co zrobił serwis, jest świetnym case study dla innych organizacji.
No dobrze, ale co dokładnie się wydarzyło?
Reddit potwierdził, że jego systemy zostały zhakowane w zeszły weekend. Było to w wyniku wyrafinowanego i wysoce ukierunkowanego ataku phishingowego. Osoby atakujące uzyskały dostęp do dokumentów, kodu i niektórych wewnętrznych systemów biznesowych.
Sprawdź: Popularne cyberzagrożenia
Pod koniec 5 lutego Reddit dowiedział się o kampanii phishingowej wymierzonej w jego pracowników. Atakujący wysłał “wiarygodnie brzmiące monity”, kierując pracowników do strony internetowej, która sklonowała zachowanie jej bramy intranetowej. Wszystko po to, aby ukraść dane uwierzytelniające.
Po uzyskaniu danych pojedynczego pracownika atakujący uzyskał dostęp do niektórych dokumentów i kodu, a także wewnętrznych pulpitów nawigacyjnych i systemów biznesowych.
Atak phishingowy na Reddit w pigułce
Znamy wszystkie powyższe informacje, ponieważ CTO Reddit informował o tym na bieżąco. Obecnie nic nie wskazuje na to, że uzyskano dostęp do nazw i haseł użytkowników Reddit, ale mimo to serwis zasugerował, że użytkownicy powinni zastosować uwierzytelnianie wieloskładnikowe (MFA) na swoich kontach w celu dodatkowej ochrony.
Istnieją dwa kluczowe wnioski z incydentu bezpieczeństwa Reddit. Po pierwsze, ataki phishingowe nadal stanowią kluczowe narzędzie w arsenale cyberprzestępców – wszyscy korzystamy z wiadomości e-mail, a starannie przygotowany atak phishingowy może oszukać nawet najbardziej świadomego bezpieczeństwa użytkownika.
Po drugie, Reddit – co warto podkreślić – wybrał właściwą opcję, będąc przejrzystym w kwestii bycia ofiarą cyberataków, publicznie ujawniając incydent zaledwie kilka dni po jego pierwszym wykryciu.
Pomimo obfitości cyberataków i naruszeń danych, wiele ofiar decyduje, że najlepszym sposobem działania jest milczenie na temat tego, co się wydarzyło. Czasami nawet nie wspominają, że w ogóle doszło do incydentu.
Zobacz: Czym jest dark web
Powody milczenia obejmują strach przed utratą reputacji, strach przed stratami finansowymi, a nawet strach przed zaalarmowaniem innych cyberprzestępców, że mogą być dobrym celem ataków.
Otwartość Reddita na to, co się stało – oraz sposób, w jaki incydent został wykryty i zarządzany – stanowi dobry przykład tego, w jaki sposób można i należy ujawnić incydent. A także tego, jakie korzyści taka transparentność może przynieść zarówno użytkownikom i klientom firmy, jak i samej firmie.
Co stało się po ataku?
Według Reddit, wkrótce po tym, jak zostały wyłudzone dane konkretnej osoby, pracownik ten podejrzewał, że coś jest nie tak. Sam zgłosił incydent, powiadamiając zespół ds. bezpieczeństwa informacji.
Specjaliści z IT zareagowali bardzo szybko, usuwając dostęp infiltratora i rozpoczęli wewnętrzne dochodzenie.
Kluczowe jest tutaj również to, że pracownik zgłosił swoje podejrzenia. Utrzymywanie tego w tajemnicy nie pomaga nikomu – poza atakującym, który zyskuje więcej czasu w sieci.
W tym przypadku pracownik zgłosił incydent. To coś, za co CTO Reddit był niezwykle wdzięczny w wątku pod pierwszym postem. W rezultacie atakujący miał dostęp do sieci tylko przez kilka godzin, ponieważ zespół ds. bezpieczeństwa był w stanie szybko zareagować.
Szybkość wykrywania – w połączeniu z przejrzystością incydentu – przypadła do gustu użytkownikom Reddita. Wielu z nich chwaliło reakcję serwisu, która obejmowała m.in. odpowiadanie na pytania dotyczące tego, co się stało.
Reddit wykorzystał również ten post, aby zachęcić użytkowników do zastosowania MFA na swoich kontach. Zachęcał też do korzystania z menedżera haseł w celu zachowania znacznie większego bezpieczeństwa.