• 發布單位:TWCERT/CC
• 更新日期:2023-02-14
• 點閱次數:155

美國大型社群論壇網站 Reddit 日前傳出遭到駭侵攻擊。據 Reddit 指出，駭侵者以高度目標釣魚手法，取得員工對內部系統的登入資訊後，入侵 Reddit 後台系統，取得部分內部資料與程式碼。

Reddit 在近日發表的資安通報中表示，該網站在 2 月 5 日稍晚發現遭到駭侵攻擊。駭侵者以高度成熟的釣魚攻擊手法，複製了 Reddit 內部專用系統的頁面，因此成功從某一 Reddit 員工處取得內部系統的登入資訊與二階段登入驗證碼，隨即取得 Reddit 的部分內部文件、程式碼，以及某些後台儀表板和管理系統資訊。

Reddit 表示，在該名員工主動通報後，該公司立即展開行動與調查，以防受害範圍擴大。目前沒有跡象顯示用戶的帳號與密碼遭竊，而 Reddit 產品系統(即用以執行 Reddit 主要功能並儲存多數資料的主機系統) 也並未遭受攻擊。

Reddit 也指出，在被竊的內部資料，可能包括數百名員工的個人資訊，以及某些廣告客戶的相關資料，但不包括信用卡、密碼與廣告績效表現等資料在內。該公司在經過內部調查後，目前認為並沒有任何公眾相關資料遭到駭侵者存取。

Reddit 指出，該公司認為這次攻擊的手法類似先前 Riot Games 遭到攻擊的事件；在該事件中，Riot Games 最熱門的「英雄聯盟」(League of Legends)原始程式碼也遭到竊取，駭侵者很快要求該公司支付 1000 萬美元贖金，但遭到 Riot Games 拒絕。隨後 League of Legends 程式碼就出現在駭侵相關論壇中求售。

針對企業員工發動社交或釣魚攻擊，以取得內部系統登入資訊的攻擊手法日漸普遍，因此建議各單位組織除了須加強內部系統的資安防護層級外，也應加強員工、供應商等的資安教育訓練，避免成為攻擊破口。