IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des pirates menacent de divulguer 80 Go de données confidentielles volées à Reddit
Le PDG de Reddit insulte les manifestants et se plaint de ne pas gagner assez d'argent avec les utilisateurs

Le , par Stéphane le calme

1PARTAGES

12  0 
Le gang de rançongiciels BlackCat (ALPHV) est à l'origine d'une cyberattaque en février sur Reddit, où les acteurs malveillants prétendent avoir volé 80 Go de données à l'entreprise. Le 9 février, Reddit a révélé que ses systèmes avaient été piratés le 5 février après qu'un employé ait été victime d'une attaque de phishing. Cette attaque de phishing a permis aux acteurs malveillants d'accéder aux systèmes de Reddit et de voler des documents internes, du code source, des données sur les employés et des données limitées sur les annonceurs de l'entreprise.

Reddit, la plateforme de discussion en ligne populaire, fait face à une menace de la part d’un groupe de pirates informatiques qui prétend avoir volé 80 Go de données confidentielles lors d’une attaque en février. Les pirates, qui se font appeler BlackCat ou ALPHV, exigent que Reddit leur verse 4,5 millions de dollars et qu’il annule sa nouvelle politique de tarification controversée pour les applications tierces qui accèdent à son API.

Selon un post du groupe sur le dark web, que CNN et un expert en cybersécurité indépendant ont pu consulter, les pirates ont réussi à pénétrer dans les systèmes de Reddit grâce à une attaque de phishing « sophistiquée et hautement ciblée » en février. Ils affirment avoir accédé à « des documents internes, du code et certains systèmes internes d’entreprise ».

Un porte-parole de Reddit a confirmé à CNN que les revendications de BlackCat sont liées à l’incident de sécurité signalé par le CTO de Reddit, Chris Slowe (aussi connu sous le pseudonyme KeyserSosa), dans un post en février. Slowe avait alors déclaré que seules les données des employés avaient été compromises et qu’il n’y avait « aucune preuve » que les données personnelles des utilisateurs, telles que les mots de passe et les comptes, aient été volées.

Sur la base de notre enquête jusqu'à présent, les mots de passe et les comptes des utilisateurs Reddit sont sûrs, mais dimanche soir (heure du Pacifique), les systèmes Reddit ont été piratés à la suite d'une attaque de phishing sophistiquée et très ciblée. Ils ont eu accès à certains documents internes, à du code et à certains systèmes commerciaux internes.

Ce qui s'est passé ?

À la fin du 5 février 2023 (PST), nous avons pris connaissance d'une campagne de phishing sophistiquée qui ciblait les employés de Reddit. Comme dans la plupart des campagnes de phishing, l'attaquant a envoyé des invites plausibles pointant les employés vers un site Web qui a cloné le comportement de notre passerelle intranet, dans le but de voler des informations d'identification et des jetons de second facteur.

Après avoir réussi à obtenir les informations d'identification d'un seul employé, l'attaquant a eu accès à certains documents internes, à du code, ainsi qu'à certains tableaux de bord internes et systèmes d'entreprise. Nous ne montrons aucune indication de violation de nos principaux systèmes de production (les parties de notre pile qui exécutent Reddit et stockent la majorité de nos données).

L'exposition comprenait des informations de contact limitées pour (actuellement des centaines) de contacts et d'employés de l'entreprise (actuels et anciens), ainsi que des informations limitées sur les annonceurs. Sur la base de plusieurs jours d'enquête initiale par la sécurité, l'ingénierie et la science des données (et amis !), nous n'avons aucune preuve suggérant que l'une de vos données non publiques a été consultée, ou que les informations de Reddit ont été publiées ou distribuées en ligne.
La polémique autour de la tarification de son API

L'API de Reddit restera gratuite pour les développeurs qui souhaitent créer des applications et des robots qui aident les gens à utiliser Reddit, ainsi que pour les chercheurs qui souhaitent étudier Reddit à des fins strictement académiques ou non commerciales. Mais les entreprises qui « explorent » Reddit à la recherche de données et « ne rendent aucune partie de cette valeur aux utilisateurs devront payer », a déclaré le cofondateur et PDG de Reddit, Steve Huffman, au Times.

« C'est le bon moment pour nous de resserrer les choses », a déclaré Huffman. « Nous pensons que c'est juste ».

Cette décision intervient alors que Reddit cherche des moyens de monétiser sa vaste gamme de contenus générés par les utilisateurs, qui, comme le note The Times, a été de plus en plus utilisé pour former des modèles d'apprentissage automatique générant du texte de haut niveau tels que ChatGPT et GPT-4 d'OpenAI. En 2019, Reddit comptait plus de 430 millions d'utilisateurs actifs par mois dans plus de 1,2 million de communautés d'intérêts particuliers, dont 138 000 sont actives.

Huffman a déclaré au Times qu'il pensait que les données de Reddit étaient particulièrement précieuses, car elles étaient continuellement mises à jour.

« Le corpus de données Reddit est vraiment précieux », a-t-il répété. « Plus que tout autre endroit sur Internet, Reddit est un lieu de conversation authentique. Il y a beaucoup de choses sur le site que vous ne diriez jamais qu'en thérapie, ou AA, ou jamais du tout… Mais nous n'avons pas besoin de donner gratuitement toute cette valeur à certaines des plus grandes entreprises du monde ».

Les actionnaires pourraient être la motivation. En avril, lors de cette indication, Reddit n'avait pas encore annoncé les détails de la tarification de son API. Mais la société se prépare à une introduction en bourse potentielle plus tard cette année, et les investisseurs rechercheront une croissance – ou de nouveaux flux de revenus.

Une rançon et une revendication

Les pirates ont contacté Reddit à deux reprises (une fois en avril et une autre fois vendredi dernier) pour demander une rançon de 4,5 millions de dollars « pour la suppression des données et notre silence ».

« Je leur ai dit dans mon premier email que j'attendrais leur introduction en bourse. Mais cela semble être l'occasion idéale ! Nous sommes très confiants que Reddit ne paiera pas d'argent pour leurs données », a noté l'opérateur du ransomware.

« Mais je suis très heureux de savoir que le public pourra lire toutes les statistiques qu'ils suivent sur leurs utilisateurs et toutes les données confidentielles intéressantes que nous avons prises. Saviez-vous qu'ils réduisent également leurs utilisateurs au silence comme mesure de censure ? Avec des artefacts de leur GitHub ! »


Article "The Reddit Files" sur le site de fuite de données BlackCat

N’ayant pas reçu de réponse, ils ont ajouté une autre exigence : que Reddit retire sa nouvelle politique de tarification pour son API, qui a provoqué la protestation de certains des utilisateurs les plus influents de la plateforme.

Cette politique prévoit de facturer des frais élevés aux applications tierces qui utilisent l’API de Reddit pour accéder à ses contenus et ses fonctionnalités.

Plusieurs applications tierces populaires, comme Apollo et Narwhal, ont annoncé qu’elles devraient fermer ou augmenter leurs prix à cause de cette mesure. Plus de 6 000 forums Reddit sont passés en mode privé la semaine dernière pour exprimer leur mécontentement - certains, comme r/music et r/videos, comptent des millions d’abonnés.

Certains experts sont sceptiques quant aux motivations réelles de BlackCat. Brett Callow, analyste des menaces chez la société de cybersécurité Emsisoft, qui a examiné le post sur le dark web, a déclaré à CNN : « Je soupçonne que ALPHV ne se soucie pas réellement du prix de l’API. Ils veulent simplement que les futures victimes voient à quel point ils peuvent causer du tort pour augmenter la probabilité qu’elles décident que le paiement est l’option la moins douloureuse ».

Le PDG de Reddit insulte les manifestants et se plaint de ne pas gagner assez d'argent avec les utilisateurs de Reddit

Steve Huffman, le PDG de Reddit, a décidé de continuer à parler. Après que son AMA (Ask Me Anything, un concept d’événement de questions-réponses, généralement à l’écrit, popularisé par Reddit) désastreux ait aidé à inspirer plus de sous-reddits à rejoindre le mouvement de grève de 48 heures, et que son rejet des sous-reddits protestataires comme quelque chose qui ne valait pas la peine d'y prêter attention a conduit de nombreux sous-reddits à prolonger indéfiniment leurs protestations, Huffman a apparemment pensé qu'il serait logique d'aller faire un tas d'interviews et d'insulter encore plus les mods protestataires.

Sur NPR par exemple, il a déclaré :

C'est un petit groupe qui est très bouleversé, et il n'y a pas moyen de contourner cela. Nous avons pris une décision commerciale qui les a bouleversés [à ce moment là, près de 9 000 subreddits - des communautés d'intérêts particuliers - avaient organisé un boycott de 48 heures]. Mais je pense que la grande communauté Reddit veut juste participer avec les autres membres de la communauté.
Un internaute a commenté son entretien en ces termes :

La deuxième partie est correcte, bien sûr. Mais c'est aussi hors de propos. Bien sûr, la grande communauté Reddit veut juste participer. Mais la raison pour laquelle ils protestent est que la propre décision de Huffman de couper effectivement leur API rend plus difficile la participation.

Et, encore une fois, ce genre de signe de protestation est insultant :

« La manifestation, ce qu'elle affecte vraiment, ce sont les utilisateurs quotidiens, dont la plupart ne sont pas impliqués dans cela ou dans les changements qui l'ont provoqué », a déclaré Huffman.

Bien sûr, la plupart des utilisateurs ne sont pas impliqués dans cela, mais ce sont les personnes qui comprennent à quel point cela cause des dommages au site – généralement les utilisateurs les plus passionnés de la plateforme – qui essaient de faire valoir leur point de vue et de faire passer le mot.

Mais, vraiment, la ligne qui m'a le plus attiré est celle-ci :

« Reddit représente l'un des plus grands ensembles de données d'êtres humains parlant de choses intéressantes », a déclaré Huffman. « Nous ne sommes pas là pour fournir cela gratuitement ».

Je veux dire putain de merde mec. Tu t'écoutes ? D'où vient cet « ensemble de données d'êtres humains parlant de choses intéressantes » ? Il est venu de millions de personnes qui vous ont donné ce contenu gratuitement. Et beaucoup d'entre eux ont utilisé le site via des applications tierces, car ces applications ont rendu votre site beaucoup plus utile sans vous facturer un centime.

L'habileté de Huffman est stupéfiante.

Il a obtenu du contenu gratuit et du travail de développement d'applications gratuites et maintenant il se plaint du fait que « nous ne sommes pas là pour fournir cela gratuitement ».

Ensuite, il a fait une interview avec NBC News, où il parle de son plan pour retirer les modérateurs protestataires de leurs subreddits et les remettre à d'autres. S'il a raison de dire que parfois les modérateurs de subreddit peuvent se comporter en petits dictateurs avides de pouvoir, mais ce n'est pas la motivation derrière sa décision. Il le fait clairement pour se venger des mods protestataires :

« Huffman a déclaré dans une interview qu'il prévoyait d'instituer des changements de règles qui permettraient aux utilisateurs de Reddit de voter contre les modérateurs qui ont supervisé la manifestation, en les comparant à une "gentry terrienne" », a expliqué NBC News.

Une plateforme vulnérable

Ce n’est pas la première fois que Reddit est victime d’une attaque informatique. En 2018, la plateforme avait subi une intrusion qui avait permis aux pirates d’accéder à une copie complète des données de Reddit datant de 2007. Cela comprenait les noms d’utilisateur, les mots de passe hachés, les emails, les posts publics et les messages privés. La popularité de Reddit en fait une cible de choix pour les cybercriminels, mais aussi pour les activistes qui veulent influencer l’opinion publique.

Sources : billet du CTO de Reddit, NBC News, NPR

Et vous ?

Que pensez-vous de la menace des pirates de divulguer les données de Reddit ?
Comment Reddit pourrait-il renforcer sa sécurité et protéger ses utilisateurs ?
Quelle est votre opinion sur la nouvelle politique de tarification de l’API de Reddit ?
Que pensez-vous des propos tenus par le PDG de Reddit devant les médias ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de smarties
Expert confirmé https://www.developpez.com
Le 22/06/2023 à 14:41
Citation Envoyé par Bruno Voir le message
  • la saturation du marché : il y a trop de plateformes de médias sociaux qui se ressemblent et qui offrent les mêmes fonctionnalités. Il devient difficile pour les utilisateurs de choisir et de gérer leurs comptes sur différentes plateformes ;
  • la lassitude des utilisateurs : les utilisateurs sont de plus en plus fatigués des médias sociaux, à cause du stress, de la pression sociale, de la désinformation, du harcèlement et de la perte de temps. Ils cherchent à se déconnecter ou à réduire leur usage des médias sociaux ;
  • la régulation gouvernementale : les gouvernements sont de plus en plus attentifs aux problèmes posés par les médias sociaux, tels que la protection des données personnelles, la liberté d’expression, la sécurité nationale et la concurrence. Ils imposent des lois et des règles aux plateformes de médias sociaux, qui peuvent limiter leur croissance ou leur innovation ;
  • la concurrence des nouvelles technologies : les médias sociaux sont menacés par l’émergence de nouvelles technologies, comme la réalité virtuelle, la réalité augmentée, l’intelligence artificielle et le blockchain. Ces technologies offrent des expériences plus immersives, plus personnalisées et plus sécurisées aux utilisateurs.
Saturation du marché, OK : vu le nombre de plateforme c'est normal et on ne va pas s'inscrire sur toutes
Lassitude des utilisateurs, OK : j'utilise un peu FB pour garder contact avec quelques connaissances et être informé de quelques soirée mais c'est tout. quand je vois tout ce qui est mis et les 3/4 des choses ne m'intéresse pas... je n'y vais donc plus tous les jours
Régulation gouvernementale, OK : vu les abus des entreprises derrières, ça ne fait pas de mal. Après il ne faut pas s'en servir comme outil de surveillance
Concurrence des nouvelles technologies : je ne suis pas convaincu surtout vis à vis des éléments cités.

A mon avis :
- il manque une plateforme centrale épurée pour les différents évènements
- il y a déjà LeBonCoin, Vinted et d'autres pour l'occasion
- on va peut être revenir sur des forums spécialisés comme avant
- peut être que ActivityPub va pousser les réseaux sociaux décentralisés
- vu comme c'est parti, Twitter risque de couler
- j'ai l'impression que Reddit est devenu payant ou sinon il faut que je m'inscrive, si c'est le cas ça va fortement diminuer sa fréquentation voire aussi le faire disparaître à l'avenir

Sinon, on peut toujours demander madame Irma de nous prédire l'avenir
6  0 
Avatar de Waikiki
Membre averti https://www.developpez.com
Le 19/06/2023 à 21:24
Reddit est en train de sombrer. Ils ont modifié leur API et rendu son usage payant, ce qui n'est pas choquant en soit mais avec des tarifs prohibitifs pour tuer les applications tierces et imposer leur immonde application envahi de pub.
Un des développeurs d'une des applications tierce les plus utilisé à expliquer que les tarifs de l'API lui coûterait 20M$ à l'année.
4  0 
Avatar de escartefigue
Modérateur https://www.developpez.com
Le 26/06/2023 à 13:50
Citation Envoyé par Madmac Voir le message
Il manque deux éléments:

- Utilisation de ces sites par les employeurs potentiaux.
- Le phénomène "Social Justice Warriors" et de la "Cancel Culture": Pour détruire la réputation d'une personne qu'ils détestent, certains vont jusqu'à éplucher toutes les déclarations publiques de cette personne pendant plus de 40 ans. J. K. Rowling et Donald Trump en ont fait les frais.
Pauvre Donald Trump, comme il est à plaindre, un brave garçon comme lui
3  0 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 20/06/2023 à 22:01
Comment Reddit pourrait-il renforcer sa sécurité et protéger ses utilisateurs ?
S'ils ont succombé à " une attaque de phishing sophistiquée" "vers un site Web qui a cloné le comportement de notre passerelle intranet", c'est que leur sécurité est un truc du style mot de passe ± 2nd facteur. C'est ballot, ce schéma ne protège pas du phishing .

C'est doublement ballot, parce que sur les PC modernes, on a le fameux TPM depuis un moment ; windows hello ; FIDO2,qui permettent de s'authentifier sans possibilité de phishing.
0  0 
Avatar de Madmac
Membre extrêmement actif https://www.developpez.com
Le 24/06/2023 à 8:58
Citation Envoyé par smarties Voir le message


A mon avis :
- il manque une plateforme centrale épurée pour les différents évènements
- il y a déjà LeBonCoin, Vinted et d'autres pour l'occasion
- on va peut être revenir sur des forums spécialisés comme avant
- peut être que ActivityPub va pousser les réseaux sociaux décentralisés
- vu comme c'est parti, Twitter risque de couler
- j'ai l'impression que Reddit est devenu payant ou sinon il faut que je m'inscrive, si c'est le cas ça va fortement diminuer sa fréquentation voire aussi le faire disparaître à l'avenir


Il manque deux éléments:

- Utilisation de ces sites par les employeurs potentiaux.
- Le phénomène "Social Justice Warriors" et de la "Cancel Culture": Pour détruire la réputation d'une personne qu'ils détestent, certains vont jusqu'à éplucher toutes les déclarations publiques de cette personne pendant plus de 40 ans. J. K. Rowling et Donald Trump en ont fait les frais.
1  2