Reddit, la plateforme de discussion en ligne populaire, fait face à une menace de la part d’un groupe de pirates informatiques qui prétend avoir volé 80 Go de données confidentielles lors d’une attaque en février. Les pirates, qui se font appeler BlackCat ou ALPHV, exigent que Reddit leur verse 4,5 millions de dollars et qu’il annule sa nouvelle politique de tarification controversée pour les applications tierces qui accèdent à son API.
Selon un post du groupe sur le dark web, que CNN et un expert en cybersécurité indépendant ont pu consulter, les pirates ont réussi à pénétrer dans les systèmes de Reddit grâce à une attaque de phishing « sophistiquée et hautement ciblée » en février. Ils affirment avoir accédé à « des documents internes, du code et certains systèmes internes d’entreprise ».
Un porte-parole de Reddit a confirmé à CNN que les revendications de BlackCat sont liées à l’incident de sécurité signalé par le CTO de Reddit, Chris Slowe (aussi connu sous le pseudonyme KeyserSosa), dans un post en février. Slowe avait alors déclaré que seules les données des employés avaient été compromises et qu’il n’y avait « aucune preuve » que les données personnelles des utilisateurs, telles que les mots de passe et les comptes, aient été volées.
Sur la base de notre enquête jusqu'à présent, les mots de passe et les comptes des utilisateurs Reddit sont sûrs, mais dimanche soir (heure du Pacifique), les systèmes Reddit ont été piratés à la suite d'une attaque de phishing sophistiquée et très ciblée. Ils ont eu accès à certains documents internes, à du code et à certains systèmes commerciaux internes.
Ce qui s'est passé ?
À la fin du 5 février 2023 (PST), nous avons pris connaissance d'une campagne de phishing sophistiquée qui ciblait les employés de Reddit. Comme dans la plupart des campagnes de phishing, l'attaquant a envoyé des invites plausibles pointant les employés vers un site Web qui a cloné le comportement de notre passerelle intranet, dans le but de voler des informations d'identification et des jetons de second facteur.
Après avoir réussi à obtenir les informations d'identification d'un seul employé, l'attaquant a eu accès à certains documents internes, à du code, ainsi qu'à certains tableaux de bord internes et systèmes d'entreprise. Nous ne montrons aucune indication de violation de nos principaux systèmes de production (les parties de notre pile qui exécutent Reddit et stockent la majorité de nos données).
L'exposition comprenait des informations de contact limitées pour (actuellement des centaines) de contacts et d'employés de l'entreprise (actuels et anciens), ainsi que des informations limitées sur les annonceurs. Sur la base de plusieurs jours d'enquête initiale par la sécurité, l'ingénierie et la science des données (et amis !), nous n'avons aucune preuve suggérant que l'une de vos données non publiques a été consultée, ou que les informations de Reddit ont été publiées ou distribuées en ligne.
Ce qui s'est passé ?
À la fin du 5 février 2023 (PST), nous avons pris connaissance d'une campagne de phishing sophistiquée qui ciblait les employés de Reddit. Comme dans la plupart des campagnes de phishing, l'attaquant a envoyé des invites plausibles pointant les employés vers un site Web qui a cloné le comportement de notre passerelle intranet, dans le but de voler des informations d'identification et des jetons de second facteur.
Après avoir réussi à obtenir les informations d'identification d'un seul employé, l'attaquant a eu accès à certains documents internes, à du code, ainsi qu'à certains tableaux de bord internes et systèmes d'entreprise. Nous ne montrons aucune indication de violation de nos principaux systèmes de production (les parties de notre pile qui exécutent Reddit et stockent la majorité de nos données).
L'exposition comprenait des informations de contact limitées pour (actuellement des centaines) de contacts et d'employés de l'entreprise (actuels et anciens), ainsi que des informations limitées sur les annonceurs. Sur la base de plusieurs jours d'enquête initiale par la sécurité, l'ingénierie et la science des données (et amis !), nous n'avons aucune preuve suggérant que l'une de vos données non publiques a été consultée, ou que les informations de Reddit ont été publiées ou distribuées en ligne.
L'API de Reddit restera gratuite pour les développeurs qui souhaitent créer des applications et des robots qui aident les gens à utiliser Reddit, ainsi que pour les chercheurs qui souhaitent étudier Reddit à des fins strictement académiques ou non commerciales. Mais les entreprises qui « explorent » Reddit à la recherche de données et « ne rendent aucune partie de cette valeur aux utilisateurs devront payer », a déclaré le cofondateur et PDG de Reddit, Steve Huffman, au Times.
« C'est le bon moment pour nous de resserrer les choses », a déclaré Huffman. « Nous pensons que c'est juste ».
Cette décision intervient alors que Reddit cherche des moyens de monétiser sa vaste gamme de contenus générés par les utilisateurs, qui, comme le note The Times, a été de plus en plus utilisé pour former des modèles d'apprentissage automatique générant du texte de haut niveau tels que ChatGPT et GPT-4 d'OpenAI. En 2019, Reddit comptait plus de 430 millions d'utilisateurs actifs par mois dans plus de 1,2 million de communautés d'intérêts particuliers, dont 138 000 sont actives.
Huffman a déclaré au Times qu'il pensait que les données de Reddit étaient particulièrement précieuses, car elles étaient continuellement mises à jour.
« Le corpus de données Reddit est vraiment précieux », a-t-il répété. « Plus que tout autre endroit sur Internet, Reddit est un lieu de conversation authentique. Il y a beaucoup de choses sur le site que vous ne diriez jamais qu'en thérapie, ou AA, ou jamais du tout… Mais nous n'avons pas besoin de donner gratuitement toute cette valeur à certaines des plus grandes entreprises du monde ».
Les actionnaires pourraient être la motivation. En avril, lors de cette indication, Reddit n'avait pas encore annoncé les détails de la tarification de son API. Mais la société se prépare à une introduction en bourse potentielle plus tard cette année, et les investisseurs rechercheront une croissance – ou de nouveaux flux de revenus.
Une rançon et une revendication
Les pirates ont contacté Reddit à deux reprises (une fois en avril et une autre fois vendredi dernier) pour demander une rançon de 4,5 millions de dollars « pour la suppression des données et notre silence ».
« Je leur ai dit dans mon premier email que j'attendrais leur introduction en bourse. Mais cela semble être l'occasion idéale ! Nous sommes très confiants que Reddit ne paiera pas d'argent pour leurs données », a noté l'opérateur du ransomware.
« Mais je suis très heureux de savoir que le public pourra lire toutes les statistiques qu'ils suivent sur leurs utilisateurs et toutes les données confidentielles intéressantes que nous avons prises. Saviez-vous qu'ils réduisent également leurs utilisateurs au silence comme mesure de censure ? Avec des artefacts de leur GitHub ! »
Article "The Reddit Files" sur le site de fuite de données BlackCat
N’ayant pas reçu de réponse, ils ont ajouté une autre exigence : que Reddit retire sa nouvelle politique de tarification pour son API, qui a provoqué la protestation de certains des utilisateurs les plus influents de la plateforme.
Cette politique prévoit de facturer des frais élevés aux applications tierces qui utilisent l’API de Reddit pour accéder à ses contenus et ses fonctionnalités.
Plusieurs applications tierces populaires, comme Apollo et Narwhal, ont annoncé qu’elles devraient fermer ou augmenter leurs prix à cause de cette mesure. Plus de 6 000 forums Reddit sont passés en mode privé la semaine dernière pour exprimer leur mécontentement - certains, comme r/music et r/videos, comptent des millions d’abonnés.
Certains experts sont sceptiques quant aux motivations réelles de BlackCat. Brett Callow, analyste des menaces chez la société de cybersécurité Emsisoft, qui a examiné le post sur le dark web, a déclaré à CNN : « Je soupçonne que ALPHV ne se soucie pas réellement du prix de l’API. Ils veulent simplement que les futures victimes voient à quel point ils peuvent causer du tort pour augmenter la probabilité qu’elles décident que le paiement est l’option la moins douloureuse ».
Le PDG de Reddit insulte les manifestants et se plaint de ne pas gagner assez d'argent avec les utilisateurs de Reddit
Steve Huffman, le PDG de Reddit, a décidé de continuer à parler. Après que son AMA (Ask Me Anything, un concept d’événement de questions-réponses, généralement à l’écrit, popularisé par Reddit) désastreux ait aidé à inspirer plus de sous-reddits à rejoindre le mouvement de grève de 48 heures, et que son rejet des sous-reddits protestataires comme quelque chose qui ne valait pas la peine d'y prêter attention a conduit de nombreux sous-reddits à prolonger indéfiniment leurs protestations, Huffman a apparemment pensé qu'il serait logique d'aller faire un tas d'interviews et d'insulter encore plus les mods protestataires.
Sur NPR par exemple, il a déclaré :
C'est un petit groupe qui est très bouleversé, et il n'y a pas moyen de contourner cela. Nous avons pris une décision commerciale qui les a bouleversés [à ce moment là, près de 9 000 subreddits - des communautés d'intérêts particuliers - avaient organisé un boycott de 48 heures]. Mais je pense que la grande communauté Reddit veut juste participer avec les autres membres de la communauté.
La deuxième partie est correcte, bien sûr. Mais c'est aussi hors de propos. Bien sûr, la grande communauté Reddit veut juste participer. Mais la raison pour laquelle ils protestent est que la propre décision de Huffman de couper effectivement leur API rend plus difficile la participation.
Et, encore une fois, ce genre de signe de protestation est insultant :
« La manifestation, ce qu'elle affecte vraiment, ce sont les utilisateurs quotidiens, dont la plupart ne sont pas impliqués dans cela ou dans les changements qui l'ont provoqué », a déclaré Huffman.
Bien sûr, la plupart des utilisateurs ne sont pas impliqués dans cela, mais ce sont les personnes qui comprennent à quel point cela cause des dommages au site – généralement les utilisateurs les plus passionnés de la plateforme – qui essaient de faire valoir leur point de vue et de faire passer le mot.
Mais, vraiment, la ligne qui m'a le plus attiré est celle-ci :
« Reddit représente l'un des plus grands ensembles de données d'êtres humains parlant de choses intéressantes », a déclaré Huffman. « Nous ne sommes pas là pour fournir cela gratuitement ».
Je veux dire putain de merde mec. Tu t'écoutes ? D'où vient cet « ensemble de données d'êtres humains parlant de choses intéressantes » ? Il est venu de millions de personnes qui vous ont donné ce contenu gratuitement. Et beaucoup d'entre eux ont utilisé le site via des applications tierces, car ces applications ont rendu votre site beaucoup plus utile sans vous facturer un centime.
L'habileté de Huffman est stupéfiante.
Il a obtenu du contenu gratuit et du travail de développement d'applications gratuites et maintenant il se plaint du fait que « nous ne sommes pas là pour fournir cela gratuitement ».
Et, encore une fois, ce genre de signe de protestation est insultant :
« La manifestation, ce qu'elle affecte vraiment, ce sont les utilisateurs quotidiens, dont la plupart ne sont pas impliqués dans cela ou dans les changements qui l'ont provoqué », a déclaré Huffman.
Bien sûr, la plupart des utilisateurs ne sont pas impliqués dans cela, mais ce sont les personnes qui comprennent à quel point cela cause des dommages au site – généralement les utilisateurs les plus passionnés de la plateforme – qui essaient de faire valoir leur point de vue et de faire passer le mot.
Mais, vraiment, la ligne qui m'a le plus attiré est celle-ci :
« Reddit représente l'un des plus grands ensembles de données d'êtres humains parlant de choses intéressantes », a déclaré Huffman. « Nous ne sommes pas là pour fournir cela gratuitement ».
Je veux dire putain de merde mec. Tu t'écoutes ? D'où vient cet « ensemble de données d'êtres humains parlant de choses intéressantes » ? Il est venu de millions de personnes qui vous ont donné ce contenu gratuitement. Et beaucoup d'entre eux ont utilisé le site via des applications tierces, car ces applications ont rendu votre site beaucoup plus utile sans vous facturer un centime.
L'habileté de Huffman est stupéfiante.
Il a obtenu du contenu gratuit et du travail de développement d'applications gratuites et maintenant il se plaint du fait que « nous ne sommes pas là pour fournir cela gratuitement ».
« Huffman a déclaré dans une interview qu'il prévoyait d'instituer des changements de règles qui permettraient aux utilisateurs de Reddit de voter contre les modérateurs qui ont supervisé la manifestation, en les comparant à une "gentry terrienne" », a expliqué NBC News.
Une plateforme vulnérable
Ce n’est pas la première fois que Reddit est victime d’une attaque informatique. En 2018, la plateforme avait subi une intrusion qui avait permis aux pirates d’accéder à une copie complète des données de Reddit datant de 2007. Cela comprenait les noms d’utilisateur, les mots de passe hachés, les emails, les posts publics et les messages privés. La popularité de Reddit en fait une cible de choix pour les cybercriminels, mais aussi pour les activistes qui veulent influencer l’opinion publique.
Sources : billet du CTO de Reddit, NBC News, NPR
Et vous ?
Que pensez-vous de la menace des pirates de divulguer les données de Reddit ?
Comment Reddit pourrait-il renforcer sa sécurité et protéger ses utilisateurs ?
Quelle est votre opinion sur la nouvelle politique de tarification de l’API de Reddit ?
Que pensez-vous des propos tenus par le PDG de Reddit devant les médias ?