每天拥有5000万用户的社会新闻和讨论网站Reddit已经证实它被黑了。在该网站2月9日发布的安全事件公告中，Reddit说它在2月5日晚些时候首次意识到其系统被成功入侵。在它所说的“针对Reddit员工的复杂的网络钓鱼活动”中，该事件警报证实，攻击者获得了对内部文件和编程的访问权，以及内部仪表板和业务系统。然而，Reddit也表示，没有证据表明用于运行Reddit本身和存储大部分数据的系统，换句话说，主要生产系统被攻破。此外，报告称正在进行的事件调查没有发现任何证据表明用户密码或账户被访问。

Reddit漏洞背后有针对性的员工网络钓鱼攻击

与所有此类安全事件一样，随着漏洞调查的继续，目前的信息还很稀少。然而，我们所知道的是，与许多此类安全事件一样，攻击者使用了有针对性的网络钓鱼活动来获得访问权。

Reddit的声明中写道：“正如大多数网络钓鱼活动一样，攻击者发出了听起来很有道理的提示，将员工指向一个克隆了我们内网网关行为的网站。试图窃取证书和第二因素令牌”。看来，一名员工被说服了，但很快意识到发生了什么，并向Reddit安全团队 “自我报告”，后者立即采取行动。

在随后的日子里，Reddit表示，调查的结论是，现任和前任员工的有限联系信息，以及一些广告商的信息被暴露。Reddit表示：“我们没有证据表明你的任何非公开数据被访问，或者Reddit的信息已经在网上公布或传播。”

Reddit建议用户设置2FA来保护账户

尽管如此，Reddit还是建议用户采取 “重要而简单”的措施，在其账户上设置双因素认证（2FA）。虽然Reddit还建议每两个月更新一次密码是个好主意，也可以使用密码管理器，但这并不是目前大多数安全专家所赞成的建议。定期更换密码，也就是说，不是使用密码管理器。事实上，我建议你使用密码管理器来创建一个随机和强大的密码或口令，例如，1Password使这个过程确实非常容易。

然而，我也建议改变你的Reddit账户密码，尽管没有证据表明这些账户在这次特定事件中被泄露了。正如最近高调的违规事件告诉我们的那样，新的证据可能在最初的攻击和调查后的几周或几个月内出现，因此，安全比遗憾更重要的做法不会伤害任何人。

KnowBe4的首席安全意识倡导者Javvad Malik说：“我们在这一事件中看到，尽管表面上有多因素认证，但仍有用户被钓鱼，这也及时提醒我们，没有任何一个保护层是完全防骗的。对于企业来说，这次事件最大的启示是，被钓鱼的用户意识到了他们的错误，并报告了这个问题，这使得Reddit的安全团队能够迅速调查这个问题。这就是为什么用户培训如此重要，这样人们不仅可以识别钓鱼邮件，而且知道如何报告它”。

以下是Reddit官方发出的声明：

TL:DR 根据我们目前的调查，Reddit用户的密码和账户是安全的，但在周日晚上（太平洋时间），Reddit系统被黑客攻击，这是一个复杂和高度针对性的网络钓鱼攻击的结果。他们获得了对一些内部文件、代码和一些内部业务系统的访问。

发生了什么？

在2023年2月5日晚（北京时间），我们意识到一个复杂的网络钓鱼活动，该活动针对Reddit员工。与大多数网络钓鱼活动一样，攻击者发出了听起来很有道理的提示，将员工指向一个克隆了我们内网网关行为的网站，试图窃取凭证和第二要素令牌。

在成功获得一名员工的凭证后，攻击者获得了对一些内部文件、代码以及一些内部仪表板和业务系统的访问权。我们没有迹象表明我们的主要生产系统（我们的堆栈中运行Reddit和存储我们大部分数据的部分）被入侵。

暴露的信息包括公司联系人和员工（目前有数百人）的有限联系信息（现任和前任），以及有限的广告商信息。根据安全、工程和数据科学（和朋友！）几天的初步调查，我们没有证据表明你的任何非公开数据被访问，或Reddit的信息已在网上公布或传播。

我们是如何应对的？

在被钓鱼后不久，受影响的员工就进行了自我报告，安全团队迅速做出反应，删除了入侵者的访问权限并开始进行内部调查。最近也有类似的网络钓鱼攻击报告。我们正在继续调查和密切监测这一情况，并与我们的员工一起努力加强我们的安全技能。我们都知道，人往往是安全链中最薄弱的部分。

我们的目标是充分了解和防止未来发生这种性质的事件，我们将利用这个帖子提供任何额外的更新，因为我们了解并可以分享更多。到目前为止，我们在五年前学到的许多经验似乎也继续发挥着作用。

用户账户保护

既然我们在谈论安全和保障，这是一个提醒你如何保护你的Reddit账户的好时机。你可以采取的最重要（也是最简单）的措施是设置2FA（双因素认证），这在你访问你的Reddit账户时增加了一个额外的安全层。了解如何在Reddit帮助中启用2FA。如果你想更进一步，每隔几个月更新你的密码总是一个好主意--只要确保它是强大和独特的，以获得更大的保护。

另外：使用一个密码管理器! 除了提供伟大的复杂密码外，它们还提供额外的安全层，在你在钓鱼网站上使用你的密码之前警告你......因为域名不会匹配！......。

...AMA!

我和我的团队将在接下来的几个小时内坚持下去，试图回答问题。由于我们的调查仍在进行中，而且这是关于我们的安全实践，我们不一定能很详细地回答所有问题，但我们会尽最大努力不辜负这里的默认开放。