Reddit liet vanmorgen weten dat de huidige e-mailadressen en een back-up van een database uit 2007 met oude, salted en gehashte wachtwoorden buit is gemaakt.

"Op 19 juni hebben we vernomen dat een aanvaller tussen 14 en 18 juni enkele accounts van onze medewerkers bij onze hostingproviders voor cloud- en broncodes heeft gecompromitteerd", aldus Reddit.

"Nadat we al onze primaire toegangspunten voor programmacode en infrastructuur achter een sterke authenticatie-muur gezet hadden waarvoor tweefactor-authenticatie (2FA) nodig was, kwamen we erachter dat op sms gebaseerde authenticatie lang niet zo veilig is als we zouden hopen, de belangrijkste aanval was via het onderscheppen van sms-berichten. Wij melden dit om iedereen aan te sporen over te stappen naar 2FA op tokenbasis."

Reddit gaf aan dat de hacker geen schrijftoegang tot zijn systemen kreeg, maar alleen leestoegang tot sommige systemen die back-upgegevens, broncode en andere logbestanden bevatten. Een volledige kopie van een oude back-up van de database met vroege Reddit-gebruikersgegevens vanaf de lancering van de site in 2005 tot mei 2007 werd gekopieerd.

Volgens Reddit zijn de belangrijkste gegevens in deze back-up accountgegevens (gebruikersnaam + salted wachtwoorden), e-mailadressen en alle inhoud (meestal openbare, maar ook privéberichten) uit die tijd.

De hackers hebben ook toegang gekregen tot logbestanden met e-mailverkeer van Reddit, verzonden tussen 3 juni en 17 juni 2018.

"Omdat de aanvaller toegang had tot onze opslagsystemen, werden er ook andere gegevens buitgemaakt, zoals de broncode, interne logs, configuratiebestanden en andere workspace-bestanden voor werknemers".

Reddit heeft aangifte gedaan en laat gebruikers weten dat het maatregelen treft om het forum nog veiliger te maken en zulke hacks in de toekomst te voorkomen.