Résumé

Pourquoi ce cas fait partie d'un dossier de risque et de responsabilité

Reddit fait partie d'un dossier de risque et de responsabilité car sa proposition de valeur publique a toujours dépendu d'un mélange fragile de participation ouverte, d'identité pseudonyme, de modération communautaire et d'infrastructure de plateforme centralisée. Les utilisateurs peuvent divulguer des intérêts sensibles, des opinions politiques, des questions de santé, des préoccupations professionnelles, des informations locales, des problèmes relationnels, des soucis financiers ou des signaux d'identité sous des noms d'utilisateur qui ne sont pas nécessairement liés à leurs vrais noms dans la navigation publique ordinaire.

Une violation qui relie des adresses e-mail, des noms d'utilisateur, d'anciens messages privés, d'anciens identifiants ou des destinataires de digests par e-mail modifie donc le risque pour l'utilisateur, même si les enregistrements exposés ne constituent pas un profil complet. Le problème de responsabilité de la plateforme ne se limite pas à savoir si quelqu'un a volé des mots de passe actuels.

Il s'agit de savoir si la plateforme peut prouver que les anciens enregistrements, sauvegardes, journaux, systèmes de contact et accès administratifs des employés ne sont pas devenus un pont durable entre la participation pseudonyme et la contactabilité dans le monde réel.

Le dossier public principal est l'annonce de Reddit en août 2018 àhttps://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/. Reddit a déclaré avoir appris qu'un attaquant avait compromis quelques comptes d'employés chez des fournisseurs de cloud et d'hébergement de code source entre le 14 et le 18 juin 2018. L'entreprise a indiqué que les comptes étaient protégés par une authentification à deux facteurs, mais que le deuxième facteur était le SMS, et Reddit a conclu que l'authentification par SMS n'était pas aussi sécurisée qu'elle l'espérait. Reddit a déclaré que l'attaquant avait un accès en lecture seule à certains systèmes contenant des données de sauvegarde, du code source et d'autres journaux. Reddit a également déclaré que l'attaquant avait eu accès à une copie complète d'une ancienne sauvegarde de base de données contenant les premières données utilisateur de Reddit de 2007 et antérieures, et à des journaux contenant les digests par e-mail que Reddit avait envoyés en juin 2018.

Cette divulgation a élargi l'incident au-delà d'une simple histoire de réinitialisation de mot de passe. L'attaquant n'avait pas besoin de modifier le contenu de Reddit pour créer une exposition à la responsabilité. Un accès en lecture seule était suffisant si les systèmes accessibles contenaient des sauvegardes historiques, du code source, des journaux et des enregistrements de contact des utilisateurs. La sauvegarde était ancienne, mais les données anciennes peuvent encore identifier des personnes.

Les digests par e-mail étaient récents, mais ils ont été créés par une fonctionnalité de communication plutôt que par un utilisateur exportant explicitement des données de compte. Les comptes des employés étaient protégés, mais le deuxième facteur choisi était vulnérable à l'interception. Chaque fait pointe vers un propriétaire de contrôle différent: gestion des identités et des accès, conservation des sauvegardes, accès aux fournisseurs de cloud, hébergement de code source, opérations de messagerie, journalisation, notification des utilisateurs et réponse juridique.

La question manifeste n'est donc pas « Reddit a-t-il été piraté? » dans l'abstrait. La question de responsabilité est: qui avait le contrôle pratique sur l'authentification multifacteur par SMS des employés, l'accès au cloud et à l'hébergement de code source, la conservation des données de sauvegarde, la minimisation des journaux, le lien d'identité des digests par e-mail, la notification des utilisateurs et la preuve que les anciennes données ne sont pas restées plus exposées que ce que les utilisateurs pouvaient raisonnablement attendre?

L'avis public de Reddit a répondu en partie à cette question en identifiant les catégories de données et les mesures d'atténuation. Il n'a pas divulgué, et n'aurait probablement pas pu le faire dans un avis public, la carte complète des accès des fournisseurs, tous les comptes d'employés affectés, la justification complète de la conservation des sauvegardes, le schéma complet des journaux, ou chaque signal de détection qui a conduit à la découverte.

L'incident a commencé par l'accès des employés, pas par la prise de contrôle de comptes publics

La première distinction de responsabilité est entre la prise de contrôle de compte utilisateur et la compromission de l'accès des employés. La propre annonce de Reddit a décrit des comptes d'employés compromis chez des fournisseurs qui soutenaient les workflows cloud et de code source. Le rapport contemporain de Wired àhttps://www.wired.com/story/reddit-hacked-thanks-to-woefully-insecure-two-factor-setup/a souligné que les attaquants avaient accédé en compromettant des comptes administratifs d'employés liés au stockage cloud et au stockage de code source. Le rapport de TechCrunch àhttps://techcrunch.com/2018/08/01/reddit-breach-exposes-user-data-but-not-much/a également décrit l'authentification à deux facteurs interceptée par SMS comme la voie contournant un contrôle que Reddit avait en place. KrebsOnSecurity àhttps://krebsonsecurity.com/2018/08/reddit-breach-highlights-limits-of-sms-based-authentication/a présenté l'événement comme une leçon sur les limites des messages texte mobiles en tant que deuxième facteur.

Cette distinction est importante car les conseils aux utilisateurs publics peuvent autrement dériver vers la mauvaise atténuation. Les utilisateurs peuvent changer de mot de passe, cesser de réutiliser d'anciens identifiants, activer une protection de compte plus forte et être vigilants face au hameçonnage. Ces mesures sont utiles. Mais les utilisateurs ne pouvaient pas corriger la méthode d'authentification des employés qui protégeait les comptes fournisseurs de Reddit. Ils ne pouvaient pas décider comment Reddit stockait les données de sauvegarde. Ils ne pouvaient pas décider quels journaux de digests par e-mail étaient conservés.

Ils ne pouvaient pas imposer le moindre privilège entre les fournisseurs de cloud et d'hébergement de code. Lorsque la frontière compromise se trouve dans l'environnement administratif de l'opérateur de la plateforme, la réponse en matière de responsabilité doit rester avec l'opérateur et ses fournisseurs, pas avec les utilisateurs affectés.

Les faits publics montrent également pourquoi « lecture seule » n'est pas un adjectif à faible risque en soi. L'accès en lecture seule empêche la modification du contenu, mais il n'empêche pas l'exfiltration, la corrélation, le craquage d'identifiants, l'inspection du code source ou l'ingénierie sociale ultérieure. Dans un contexte de plateforme, la lecture d'une ancienne sauvegarde peut révéler des identifiants de compte historiques et des adresses e-mail. La lecture de journaux peut révéler quel compte a reçu quelle communication.

La lecture du code source peut aider un attaquant à comprendre l'architecture, bien que les rapports publics n'aient pas établi que le code source a été utilisé pour une attaque ultérieure. La responsabilité nécessite de séparer ces possibilités. Il est juste de dire que l'accès en lecture seule peut être grave. Il n'est pas juste, sur la base du seul dossier public, de prétendre que chaque abus en aval possible s'est produit.

L'avis de Reddit a fait un travail utile de délimitation en nommant ce qui était impliqué. La sauvegarde plus ancienne contenait des identifiants de compte et des adresses e-mail de 2007 et antérieures. Reddit a déclaré que ces identifiants étaient salés et hachés. Les journaux de digests par e-mail de juin 2018 contenaient des noms d'utilisateur et des adresses e-mail associées pour les utilisateurs qui s'étaient abonnés à ces digests. Reddit a déclaré qu'il envoyait des messages aux utilisateurs concernés et exigeait des réinitialisations de mot de passe pour les comptes dont les identifiants pouvaient encore être valides.

Ce sont des faits publics confirmés. Ils exposent également le thème central de la responsabilité: les contrôles de sécurité doivent être évalués par ce qu'un compte d'employé compromis peut lire, pas seulement par la capacité de l'attaquant à modifier le contenu de production.

L'authentification multifacteur par SMS est devenue l'échec de contrôle visible

La leçon la plus citée de l'incident est que l'authentification multifacteur par SMS est plus faible que les alternatives résistantes au hameçonnage ou basées sur une application pour les accès administratifs à haut risque. Le rapport d'Ars Technica àhttps://arstechnica.com/information-technology/2018/08/password-breach-teaches-reddit-that-yes-phone-based-2fa-is-that-bad/a formulé cette leçon de manière brutale. Wired et KrebsOnSecurity ont fait le même point en termes différents. La propre déclaration de Reddit a indiqué que l'authentification par SMS n'était pas aussi sécurisée que l'entreprise l'espérait. Cette phrase est devenue le raccourci public de la violation.

Le raccourci est utile, mais il peut devenir trop étroit. Le SMS est exposé à la fraude par échange de SIM, à l'abus de portabilité de numéro, à l'ingénierie sociale des opérateurs, aux faiblesses de signalisation, aux logiciels malveillants sur les terminaux, à l'interception de notifications et à des modes de défaillance opérationnels que l'opérateur de la plateforme ne contrôle pas totalement. Pour les comptes consommateurs ordinaires, le SMS peut encore être meilleur que l'absence de deuxième facteur contre le bourrage d'identifiants généralisé.

Pour l'accès des employés aux systèmes cloud, aux systèmes de code source, aux magasins de sauvegarde, aux outils de support de production et aux dépôts de journaux, le seuil de risque est différent. L'accès administratif à haute valeur nécessite une assurance plus forte, une liaison de dispositif plus forte, une résistance au hameçonnage plus forte, des contrôles de session privilégiée et une surveillance continue.

La norme NIST SP 800-63B, disponible àhttps://pages.nist.gov/800-63-3/sp800-63b.html, est pertinente car elle traite l'authentification hors bande via le réseau téléphonique public commuté comme un authentifiant restreint. Le point pour ce cas n'est pas qu'un document du NIST juge rétroactivement l'incident de Reddit. Le point est que les normes publiques avaient déjà évolué vers une vision plus prudente du SMS. Pour l'accès administratif, une plateforme devrait s'attendre à justifier pourquoi un authentifiant restreint est suffisant, quels contrôles compensatoires existent et à quelle vitesse elle peut passer à des facteurs plus forts pour les employés ayant accès aux données utilisateur, aux sauvegardes, au code source, aux journaux et aux consoles des fournisseurs.

Le dossier de responsabilité devrait donc éviter la conclusion paresseuse que Reddit n'avait pas de deuxième facteur. Reddit avait bien une authentification à deux facteurs. L'échec était que le deuxième facteur choisi n'offrait pas une assurance suffisante pour le modèle de menace. C'est une leçon plus précise et plus utile. Un contrôle peut exister et être encore inadéquat. Une liste de contrôle peut être satisfaite alors que le risque reste trop élevé.

Le test n'est pas de savoir si la plateforme peut dire « l'authentification multifacteur était activée »; le test est de savoir si la forme d'authentification multifacteur est appropriée pour l'actif, l'acteur, le compte fournisseur et le rayon d'explosion.

Les sauvegardes ont transformé les données historiques en exposition actuelle

La deuxième leçon concerne la responsabilité des données de sauvegarde. Reddit a déclaré que l'attaquant avait accédé à une copie complète d'une ancienne sauvegarde de base de données contenant les premières données utilisateur de 2007 et antérieures. Cette sauvegarde comprenait des identifiants de compte et des adresses e-mail. Reddit a décrit les mots de passe comme salés et hachés, ce qui est important car la protection cryptographique réduit le risque immédiat d'identifiants.

Mais l'existence de la sauvegarde dans un endroit accessible via des comptes fournisseurs compromis soulève encore des questions de conservation, d'accès, de chiffrement, de segmentation et de suppression.

Les sauvegardes sont nécessaires pour la résilience. Une plateforme ne peut pas fonctionner de manière responsable sans récupérabilité. Mais les systèmes de sauvegarde ne sont pas seulement une assurance opérationnelle. Ce sont des magasins de données parallèles. Ils contiennent souvent des schémas plus anciens, des champs obsolètes, des identifiants historiques et des données que les systèmes de production n'exposent plus de la même manière. Ils peuvent être copiés entre régions, conservés selon des calendriers différents et accessibles par différents administrateurs.

Plus la sauvegarde est ancienne, plus il est probable que ses champs reflètent des pratiques de sécurité antérieures, des algorithmes de hachage antérieurs, des hypothèses de produit antérieures et des attentes de confidentialité antérieures.

C'est pourquoi cet incident ne peut pas être réduit à l'âge de la sauvegarde. L'âge de la sauvegarde peut limiter le nombre d'utilisateurs actuels directement affectés par la réutilisation d'identifiants, mais il peut aussi créer un risque différent: les personnes qui ont rejoint une plateforme dans ses premières années peuvent avoir utilisé des adresses e-mail, des messages et des mots de passe qui se connectent à des identités qu'elles ont ensuite séparées. Une adresse e-mail de 2007 peut encore être une adresse de récupération de compte, une adresse professionnelle, une adresse scolaire ou un indice de nom d'utilisateur.

Un mot de passe salé et haché peut encore être craquable en fonction de l'algorithme, de la gestion du sel, de la force du mot de passe et des ressources de l'attaquant. Le dossier public ne prouve pas que tous ces risques se sont matérialisés, mais il prouve qu'ils ont dû être évalués.

La norme NIST SP 800-53 Rev. 5 àhttps://csrc.nist.gov/publications/detail/sp/800-53/rev-5/finalfournit un langage de contrôle utile pour cette partie de l'incident: contrôle d'accès, audit et responsabilité, protection des supports, protection des systèmes et des communications, planification d'urgence et évaluation des risques. Ce sont des contrôles génériques, pas des conclusions spécifiques à Reddit. Ils aident à définir les questions qu'un programme de sauvegarde responsable devrait répondre. Qui peut lister les sauvegardes? Qui peut lire les sauvegardes? Les sauvegardes sont-elles chiffrées avec des clés indisponibles pour les sessions cloud ordinaires? Les sauvegardes historiques sont-elles segmentées des workflows de code source? Les accès sont-ils journalisés d'une manière qui survive à une compromission? Les anciennes sauvegardes sont-elles testées pour la suppression et la minimisation, et pas seulement pour la récupération?

Les inconnues publiques sont importantes. L'avis de Reddit de 2018 n'a pas divulgué l'architecture exacte de stockage des sauvegardes, les arrangements de chiffrement, le modèle de gestion des clés, le calendrier complet de conservation ou la configuration du fournisseur. Il n'a pas non plus divulgué si l'ancienne sauvegarde accédée était la seule sauvegarde historique accessible. Ces inconnues ne prouvent pas la négligence. Elles identifient ce que le public ne peut pas vérifier de manière indépendante.

Dans un dossier de responsabilité de plateforme, la frontière entre les faits confirmés et les questions de contrôle sans réponse fait partie de l'analyse.

Les digests par e-mail ont créé une surface de liaison d'identité

Les digests par e-mail de juin 2018 sont la frontière de notification utilisateur la plus importante dans ce cas. Reddit a déclaré que l'attaquant avait accédé à des journaux contenant des digests par e-mail envoyés entre le 3 et le 17 juin 2018, et que ces journaux reliaient des noms d'utilisateur à des adresses e-mail. Les digests par e-mail ne sont généralement pas considérés comme une infrastructure d'identité à haut risque. Ce sont des communications produit. Mais ils peuvent relier un nom d'utilisateur pseudonyme à une adresse e-mail réelle ou durable.

Pour une plateforme construite autour de communautés, ce lien peut être sensible même lorsqu'il n'inclut pas de mot de passe, de carte de paiement, de numéro de passeport ou d'identifiant gouvernemental.

La sensibilité dépend du contexte. Un nom d'utilisateur attaché à une communauté de loisirs générique peut ne pas créer de préjudice significatif. Un nom d'utilisateur attaché à des communautés de soutien, de discours politique, de plaintes professionnelles, de discussions sur le genre ou la sexualité, de conditions de santé, de problèmes juridiques, de rétablissement d'addiction, d'activisme local ou de dénonciation peut créer une exposition différente. L'adresse e-mail peut identifier une personne directement. Elle peut identifier un employeur, une école, un domaine familial ou une région.

Elle peut aussi être une adresse de récupération que les adversaires peuvent utiliser pour le hameçonnage. Les économies d'abus de contact sont simples: une fois qu'un nom d'utilisateur est lié à une adresse e-mail, il devient moins cher de cibler la personne en dehors de Reddit.

Cela ne signifie pas que chaque destinataire de digest affecté a subi un préjudice. Le dossier public ne l'établit pas. Cela signifie que la plateforme devait traiter la contactabilité comme une catégorie d'exposition, pas comme un artefact de communication mineur. L'avis de Reddit a déclaré qu'il enverrait des messages aux utilisateurs dont les adresses e-mail actuelles étaient affectées par les journaux de digests. Cette réponse est pertinente car elle reconnaît que les utilisateurs affectés n'étaient pas limités à l'ancienne population de sauvegarde de 2007.

La population récente de digests par e-mail créait un deuxième groupe de notification.

L'incident montre également pourquoi les journaux produit ont besoin d'un examen de confidentialité. Les journaux sont souvent construits pour le débogage, l'analytique, le support client, la lutte contre les abus, la délivrabilité des e-mails ou la surveillance opérationnelle. Ils peuvent accumuler des identifiants parce que cela facilite le diagnostic. Mais lorsqu'un journal lie une identité utilisateur à une adresse accessible, il devient une donnée sensible. L'automatisation de la sécurité devrait donc classer les journaux par ce qu'ils peuvent lier, pas seulement par leur contenu secret.

Un journal qui ne contient pas de mot de passe peut encore exposer des relations d'identité.

La souveraineté et la localisation des données sont restées principalement des inconnues publiques

Le dossier inclut la souveraineté et la localisation des données car Reddit est une plateforme mondiale et parce que l'avis public a identifié des fournisseurs de cloud et d'hébergement de code source plutôt qu'un centre de données à emplacement unique. Les utilisateurs de Reddit ne sont pas confinés à une seule juridiction. Leurs adresses e-mail, historiques de comptes, messages et enregistrements de digests peuvent impliquer des personnes aux États-Unis, en Europe, en Asie, en Amérique latine, en Afrique et dans d'autres régions. L'avis public n'a pas fourni de carte détaillée de localisation pour la sauvegarde ou les journaux de digests.

Cette absence de détail public n'est pas inhabituelle dans les avis d'incident. Les entreprises évitent souvent de divulguer des détails d'infrastructure qui pourraient aider les attaquants. Mais l'absence de détail sur la localisation laisse une question de gouvernance.

Si une plateforme mondiale stocke des sauvegardes et des journaux d'utilisateurs historiques chez des fournisseurs de cloud, qui sait dans quelles juridictions les données sont stockées, quel personnel ou chemins de support du fournisseur peuvent y accéder, quelles règles de notification de violation de la loi s'appliquent, et quels utilisateurs devraient recevoir des informations spécifiques à la région? Ces questions comptent même lorsque l'incident est traité dans un cadre de divulgation publique des États-Unis.

La déclaration d'enregistrement ultérieure de Reddit auprès de la SEC àhttps://www.sec.gov/Archives/edgar/data/1713445/000162828024006294/reddits-1q423.htmet l'index des dépôts auprès des relations investisseurs àhttps://investor.redditinc.com/financials/sec-filings/default.aspxne sont pas des sources médico-légales spécifiques à l'incident. Elles comptent car elles montrent le contexte actuel de Reddit en tant qu'entreprise publique et la matérialité continue des obligations de confidentialité, de sécurité, de modération, de données et de confiance pour une plateforme mondiale. L'incident de 2018 est antérieur à l'inscription en bourse de Reddit, mais la divulgation des risques de l'entreprise publique souligne la même catégorie de responsabilité: les défaillances de sécurité des données peuvent affecter la confiance des utilisateurs, l'exposition réglementaire, les opérations commerciales et la réputation.

Pour cet article, l'inférence soutenue est étroite. Il est raisonnable d'inférer que les données de plateforme mondiale et l'infrastructure basée sur les fournisseurs rendent la gouvernance de la localisation pertinente. Il n'est pas raisonnable de prétendre, sur la base du dossier public, que Reddit a violé une règle spécifique de transfert de données dans l'incident de 2018. Le dossier de responsabilité devrait demander des preuves de cartographie de localisation, pas inventer une réponse.

La déclaration publique correcte est que la localisation et la souveraineté étaient des questions de gouvernance matérielles avec une divulgation publique incomplète.

La notification a dû séparer les anciens identifiants des liens d'identité actuels

L'avis public de Reddit a dû parler de deux populations affectées différentes. Une population impliquait des utilisateurs dont les données se trouvaient dans l'ancienne sauvegarde de 2007, y compris les premiers identifiants de compte et adresses e-mail. L'autre impliquait des utilisateurs dont les digests par e-mail de juin 2018 créaient des liens nom d'utilisateur-e-mail. Ces groupes ont des profils de risque différents, des actions utilisateur différentes et des exigences de preuve différentes. Les fusionner dans un seul avis de violation générique aurait affaibli la responsabilité.

Pour la population de l'ancienne sauvegarde, la réutilisation de mot de passe était le risque évident pour l'utilisateur. Reddit a déclaré qu'il exigeait des réinitialisations de mot de passe là où les identifiants pouvaient encore être valides et recommandait aux utilisateurs de changer les mots de passe sur d'autres services s'ils les réutilisaient. Ce conseil est sensé car les anciens identifiants hachés peuvent devenir dangereux s'ils sont réutilisés ailleurs, surtout si le mot de passe original est faible ou si le hachage est craqué.

La responsabilité de la plateforme, cependant, n'est pas seulement de dire aux utilisateurs de changer les mots de passe. C'est d'expliquer pourquoi une sauvegarde de l'ère 2007 était accessible, quelle méthode de protection des identifiants a été utilisée et ce qui a changé après l'événement.

Pour la population des digests par e-mail, l'action de l'utilisateur était moins directe. Un utilisateur ne peut pas changer un historique de nom d'utilisateur de la même manière qu'il change un mot de passe. Un utilisateur peut changer d'adresse e-mail, se désabonner des digests, renforcer le compte e-mail et surveiller le hameçonnage. Mais le lien peut déjà exister en dehors du contrôle de l'utilisateur. Cela rend la délimitation et les preuves de notification de la plateforme particulièrement importantes.

L'utilisateur a besoin de savoir si les journaux exposés contenaient seulement un nom d'utilisateur et une adresse e-mail, s'ils contenaient des sujets de digest ou des références à des publications, et s'ils incluaient des identifiants supplémentaires. L'avis public de Reddit a identifié le lien, mais le public ne peut pas inspecter le schéma des journaux.

Le dossier public des rapports a aidé à amplifier la distinction. Wired a mis en lumière le chemin des comptes d'employés et le contexte du cloud/stockage de code source. Ars Technica a souligné les données de mot de passe, les messages, les adresses e-mail et la faiblesse du SMS. KrebsOnSecurity a souligné la leçon sur les messages texte mobiles. Le rapport de WeLiveSecurity d'ESET àhttps://www.welivesecurity.com/2018/08/02/reddit-reveals-breach-staffs-2fa/a noté que la violation comprenait une ancienne sauvegarde de base de données et les noms d'utilisateur et adresses des digests de juin. Ces comptes sont utiles pour la chronologie, mais l'avis de l'entreprise reste la base de la délimitation la plus soignée.

Des résumés publics supplémentaires àhttps://siliconangle.com/2018/08/01/historical-data-stolen-reddit-sms-two-factor-authentication-intercept-hack/ethttps://www.helpnetsecurity.com/2018/08/02/reddit-breach/sont utiles principalement parce qu'ils préservent la même séquence publique: comptes d'employés, interception SMS, données de sauvegarde historiques et journaux récents de digests par e-mail. Ils ne sont pas des enregistrements médico-légaux indépendants, mais ils aident à montrer que le problème de responsabilité était visible immédiatement, pas reconstruit seulement des années plus tard. Les conseils généraux de sécurité des entreprises de la FTC àhttps://www.ftc.gov/business-guidance/resources/start-security-guide-businessethttps://www.ftc.gov/business-guidance/resources/protecting-personal-information-guide-businessrenforcent les mêmes thèmes de limites d'accès, de discipline de conservation, de supervision des fournisseurs de services et de manipulation soigneuse des informations personnelles.

L'automatisation de la sécurité n'est responsable que lorsqu'elle connaît les données qu'elle protège

L'automatisation de la sécurité apparaît dans ce cas sous deux formes: l'automatisation de l'authentification et l'automatisation de la gouvernance des données. L'automatisation de l'authentification décide si une session d'employé doit être autorisée. L'automatisation de la gouvernance des données décide quelles sauvegardes et journaux existent, combien de temps ils vivent, qui peut les lire et comment les accès sont détectés. L'incident de 2018 montre qu'une automatisation d'apparence robuste peut échouer si elle n'est pas adaptée à la sensibilité des actifs.

Un défi basé sur le SMS peut arrêter les attaques généralisées. Il est plus faible contre une tentative ciblée d'atteindre les comptes fournisseurs des employés. Un calendrier de sauvegarde peut protéger la résilience. Il devient risqué si les anciennes sauvegardes restent accessibles via des identifiants administratifs larges. Un pipeline de journalisation peut soutenir la délivrabilité des e-mails et les diagnostics. Il devient risqué s'il crée des cartes nom d'utilisateur-e-mail durables sans limites de conservation et d'accès strictes. Un workflow de notification peut contacter rapidement les utilisateurs concernés.

Il devient inadéquat si la plateforme ne peut pas identifier les utilisateurs concernés avec confiance.

Les contrôles du Center for Internet Security àhttps://www.cisecurity.org/controlset le cadre de cybersécurité du NIST àhttps://www.nist.gov/cyberframeworkaident à cadrer cela comme un problème de système de contrôle. L'inventaire, la gestion des comptes, le contrôle d'accès, la protection des données, la gestion des journaux d'audit, la configuration sécurisée, la réponse aux incidents et la gestion des fournisseurs de services se croisent tous. L'article n'utilise pas ces cadres comme preuve que Reddit a échoué à un contrôle particulier. Il les utilise comme vocabulaire pour ce qu'un dossier de remédiation responsable couvrirait.

La question d'automatisation la plus précieuse après cet incident est la mesure du rayon d'explosion. Lorsqu'une identité privilégiée est compromise, l'organisation peut-elle répondre rapidement à quelles sauvegardes, dépôts, journaux, secrets et enregistrements clients étaient lisibles? Si la réponse prend trop de temps, l'entreprise ne peut pas notifier les utilisateurs avec précision. Si la réponse dépend de connaissances tribales manuelles, la plateforme est vulnérable à une délimitation incomplète.

Si la réponse est automatisée mais exclut les magasins de sauvegarde ou les journaux de messagerie, la plateforme peut manquer exactement les données historiques qui créent un risque.

Les économies d'abus de contact ont changé le modèle de préjudice

L'incident de Reddit se situe à l'intersection de la sécurité et des économies d'abus de contact. Un attaquant qui apprend un nom d'utilisateur et une adresse e-mail peut déplacer les abus d'un environnement de modération de plateforme vers le courrier électronique, le bourrage d'identifiants, le harcèlement, l'extorsion, le doxxing ou le hameçonnage ciblé. Les communautés de Reddit comprennent de nombreuses discussions ordinaires à faible risque, mais la plateforme héberge également des contextes sensibles. Un nom d'utilisateur inoffensif dans une communauté peut être sensible dans une autre.

Une adresse e-mail accessible change les économies du ciblage car l'attaquant n'a plus à se fier aux commentaires publics ou aux messages privés au sein de la plateforme.

C'est pourquoi l'analyse publique sécurisée ne devrait pas surestimer le préjudice tout en prenant l'exposition au sérieux. Les faits confirmés montrent que certaines relations nom d'utilisateur-e-mail ont été exposées via des journaux de digests par e-mail et que les anciennes données de sauvegarde comprenaient des identifiants et des adresses e-mail. Les faits confirmés ne montrent pas que chaque utilisateur concerné a été ciblé, que chaque mot de passe a été craqué, ou que chaque appartenance à une communauté a été exposée.

L'inférence soutenue est que les données de liaison d'identité augmentent le risque de contact et la plausibilité de l'ingénierie sociale. Cette inférence est raisonnable car elle découle des catégories de données.

La responsabilité de la plateforme devrait donc inclure un avis sensible aux abus. Un avis de sécurité générique qui dit seulement « changez votre mot de passe » peut manquer le risque social des identités liées. Un meilleur avis aide les utilisateurs à comprendre le risque de hameçonnage, le renforcement du compte e-mail, la réutilisation de mot de passe, la récupération de compte, les préférences de digest et les limites de ce que l'entreprise sait. L'avis de Reddit incluait des engagements de messagerie spécifiques à l'utilisateur et des étapes de réinitialisation de mot de passe.

La question publique non résolue est de savoir à quel point ces messages spécifiques à l'utilisateur étaient détaillés et s'ils expliquaient le risque de liaison d'identité d'une manière adaptée au contexte de l'utilisateur.

L'incident montre également pourquoi la confidentialité des utilisateurs ne peut pas être séparée de la gouvernance de l'accès des employés. Une plateforme peut permettre aux utilisateurs de choisir des pseudonymes, mais si l'infrastructure administrée par les employés peut révéler des liens d'e-mail via des journaux ou des sauvegardes, le modèle de pseudonyme dépend de la sécurité administrative. Cela ne signifie pas que le pseudonyme est impossible. Cela signifie que la plateforme doit traiter les ensembles de données liant les e-mails comme des actifs à haute sensibilité même lorsqu'ils sont des sous-produits opérationnels.

Faits confirmés, inférence soutenue et inconnues

Les faits publics confirmés incluent la déclaration de Reddit selon laquelle des attaquants ont compromis plusieurs comptes d'employés chez des fournisseurs de cloud et d'hébergement de code source entre le 14 et le 18 juin 2018.

Les faits publics confirmés incluent également la déclaration de Reddit selon laquelle ces comptes étaient protégés par une authentification à deux facteurs par SMS, que les attaquants avaient un accès en lecture seule à certains systèmes contenant des données de sauvegarde, du code source et des journaux, qu'une ancienne sauvegarde de base de données de 2007 et antérieure a été consultée, et que les journaux de digests par e-mail de juin 2018 liant les noms d'utilisateur et les adresses e-mail ont été consultés.

Reddit a également confirmé qu'il avait contacté les utilisateurs concernés et pris des mesures d'atténuation, y compris des réinitialisations de mot de passe pour certains comptes.

L'inférence soutenue inclut la conclusion que l'authentification par SMS n'était pas appropriée en elle-même pour l'accès des employés à haut risque aux comptes fournisseurs ayant accès aux sauvegardes, au code source et aux journaux. L'inférence soutenue inclut également la conclusion que les anciennes sauvegardes et les journaux de messagerie créaient un risque actuel pour les utilisateurs car ils contenaient des identifiants, des adresses e-mail et des liens nom d'utilisateur-e-mail.

Une autre inférence soutenue est que l'authentification multifacteur plus forte, le moindre privilège, la segmentation des sauvegardes, la revue de conservation, la minimisation des journaux et l'analyse automatisée du rayon d'explosion sont des thèmes de remédiation pertinents. Ces inférences sont soutenues par les propres catégories de données de Reddit et par les cadres de contrôle publics, mais elles ne sont pas les mêmes que les conclusions médico-légales privées.

Les inconnues incluent la méthode exacte utilisée pour intercepter ou contourner le SMS, les identités des fournisseurs de cloud et d'hébergement de code source, la liste complète des comptes d'employés affectés, la quantité exacte de code source consultée, l'architecture complète de stockage des sauvegardes, la méthode de hachage précise pour les anciens identifiants, le schéma complet des journaux pour les digests par e-mail, le calendrier complet de conservation, la carte des régions ou localisations pour les données affectées, et si un abus en aval spécifique s'est produit à cause des enregistrements exposés.

Les inconnues incluent également l'ensemble complet des mesures de remédiation post-incident. L'avis public de Reddit est informatif, mais ce n'est pas un rapport médico-légal complet.

Ces limites sont essentielles pour une rédaction responsable et sécurisée. L'article ne devrait pas accuser Reddit de faute intentionnelle, de comportement criminel ou d'exposition délibérée. Le dossier public soutient une affirmation plus étroite et plus utile: l'incident a démontré que l'authentification multifacteur par SMS des employés, les privilèges des comptes fournisseurs, la conservation des sauvegardes et les journaux de contact des utilisateurs doivent être gouvernés comme un seul système de responsabilité. Lorsque ce système échoue, l'exposition n'est pas seulement un échec de connexion.

C'est un test pour savoir si la plateforme peut prouver quelles données existaient, pourquoi elles existaient, qui pouvait les lire, qui était affecté et ce qui a changé après la violation.

L'accès fournisseur a rendu le moindre privilège mesurable

La couche d'accès fournisseur est l'endroit où le moindre privilège devient mesurable plutôt que rhétorique. Une entreprise peut dire qu'elle restreint l'accès à la production, mais le test pratique est ce qu'un compte d'employé compromis peut lire à travers les consoles cloud, les dépôts de code source, les magasins de sauvegarde, les systèmes de journalisation et les outils de support. L'avis de Reddit a déclaré que les attaquants avaient un accès en lecture seule à certains systèmes contenant des données de sauvegarde, du code source et des journaux. Cette phrase suffit à identifier la surface de contrôle de responsabilité.

Si un compte fournisseur peut lire à travers ces catégories, alors la plateforme doit être en mesure de justifier pourquoi ce compte a un tel accès, si l'accès est temporaire ou permanent, s'il est lié à la posture de l'appareil et à la localisation, s'il nécessite une authentification renforcée supplémentaire, et si chaque lecture est journalisée avec suffisamment de fidélité pour une délimitation ultérieure.

Le moindre privilège doit également être évalué par l'âge des données. Une base de données de production actuelle peut recevoir le plus d'attention car elle alimente le service en direct. Une sauvegarde historique peut être plus facile à oublier car elle ne fait pas partie de l'expérience utilisateur ordinaire. Mais une session cloud privilégiée qui peut lire les anciennes sauvegardes a un rayon d'explosion différent d'une session qui peut seulement déployer du code, lire des métriques de surveillance ou administrer un service étroit. Le dossier public ne révèle pas le modèle d'accès exact de Reddit.

La leçon soutenue est que les comptes fournisseurs doivent être cartographiés par catégories de données, pas seulement par systèmes. « Peut lire les données de sauvegarde » est un privilège matériellement différent de « peut redémarrer un service ».

Cette distinction compte également pour l'accès au code source. Le code source n'est pas automatiquement des données personnelles, mais les dépôts de code source peuvent contenir des secrets par erreur, des détails de schéma, des indices de flux de données, des conventions de journalisation, des informations de dépendance, des scripts de déploiement ou des commentaires qui aident un attaquant à comprendre où se trouvent les enregistrements sensibles. Le dossier public ne montre pas que le code source de Reddit a été utilisé pour une exploitation ultérieure.

Néanmoins, une équipe de réponse aux incidents doit déterminer si l'accès au code source change l'évaluation des risques. Cela nécessite des journaux d'audit de dépôt, une analyse des secrets, des décisions de rotation des clés et un moyen de séparer la confidentialité du code de l'exposition des données utilisateur.

La supervision des fournisseurs devrait également inclure la vitesse de révocation. Une fois que Reddit a détecté l'incident, les comptes, jetons, sessions, clés, autorisations fournisseurs et identifiants de dépôt concernés ont dû être examinés. Un dossier de réponse mature montrerait à quelle vitesse l'accès affecté a été désactivé, si les identifiants ont été rotés, si les facteurs SMS ont été remplacés, si les sessions fournisseurs ont été terminées et si des jetons persistants ont survécu à la fenêtre d'incident orientée utilisateur. Ces détails ne sont pas publics. L'analyse de responsabilité n'a pas besoin de les inventer.

Elle doit les nommer comme les preuves qui convertiraient une assurance générale en un dossier de remédiation vérifiable.

La minimisation des sauvegardes est une question de résilience, pas un après-coup de confidentialité

La minimisation des sauvegardes peut sembler un luxe de confidentialité jusqu'à ce qu'un incident prouve qu'il s'agit d'un contrôle de résilience. Une sauvegarde qui contient d'anciens identifiants, d'anciennes adresses e-mail et d'anciennes métadonnées de compte peut créer un travail de réponse des années plus tard.

L'organisation doit déterminer quels utilisateurs sont affectés, si les identifiants sont encore valides, si la méthode de hachage est suffisante, si les adresses e-mail sont actuelles, si le sujet des données peut être contacté et si les anciens enregistrements de compte ont un statut juridique différent des enregistrements actuels. Ces tâches consomment du temps de réponse aux incidents exactement lorsque la vitesse compte.

Un meilleur programme de sauvegarde ne supprime pas simplement toutes les anciennes données. Les plateformes ont besoin de récupérabilité, de conservation légale, d'enquêtes sur les abus et d'intégrité historique. Le point de responsabilité est une conservation spécifique à l'objectif. Une sauvegarde conservée pour la reprise après sinistre devrait avoir un objectif de récupération défini, une frontière de chiffrement, une période de conservation, un chemin d'accès, un test de restauration et un test de suppression. Une sauvegarde conservée pour une retenue légale devrait avoir un modèle d'accès et de révision différent.

Une sauvegarde conservée parce que personne ne sait si elle peut être supprimée est un échec de responsabilité attendant une violation. L'incident de Reddit de 2018 illustre pourquoi les anciens enregistrements de plateforme doivent avoir un propriétaire actuel.

La minimisation des sauvegardes change également la qualité de la notification. Si les anciens enregistrements sont fortement segmentés, chiffrés avec des clés contrôlées séparément et indexés par classe de conservation, les répondants aux incidents peuvent délimiter l'exposition plus rapidement. Si les anciens enregistrements sont mélangés avec des systèmes de code source, du stockage cloud large ou des journaux opérationnels lâches, les répondants peuvent devoir reconstruire le rayon d'explosion sous pression.

L'avis public a donné aux utilisateurs des informations utiles sur les catégories de données, mais il n'a pas montré le processus d'inventaire sous-jacent. Pour une plateforme avec des utilisateurs mondiaux et une identité pseudonyme, ce processus d'inventaire est central pour la confiance.

Le même principe s'applique aux journaux de digests par e-mail. Si les journaux de digests sont conservés pour le dépannage de la délivrabilité, la fenêtre de conservation devrait correspondre à cet objectif. S'ils sont conservés pour l'analytique, l'entreprise devrait se demander si les noms d'utilisateur et les adresses e-mail doivent rester dans le même enregistrement. S'ils sont conservés pour les enquêtes sur les abus, l'accès devrait être strictement limité et surveillé. Un système de digest peut être une fonctionnalité de commodité pour les utilisateurs tout en créant une carte d'identité de grande valeur pour les attaquants.

Une automatisation responsable devrait reconnaître cette double nature avant un incident, pas seulement après la divulgation.

La confiance des utilisateurs dépendait d'un langage précis

L'incident de Reddit montre également pourquoi un langage précis est important dans un avis de violation. Dire « certaines données ont été consultées » ne suffit pas pour une plateforme construite autour de l'utilisation pseudonyme. Les utilisateurs ont besoin de savoir si les données affectées peuvent exposer l'accès au compte, la contactabilité, le lien d'identité, les communications privées ou les anciens identifiants. L'avis de Reddit a séparé la sauvegarde de 2007 des journaux de digests par e-mail de juin 2018. Cette séparation a aidé les utilisateurs à comprendre deux voies de risque différentes.

Elle a également créé un dossier public que les analystes ultérieurs pouvaient tester contre les cadres de contrôle.

Un langage précis évite également les exagérations inutiles. L'avis n'a pas dit que les mots de passe actuels étaient largement exposés. Il n'a pas dit que chaque utilisateur de Reddit était affecté. Il n'a pas dit que tous les messages privés étaient exposés de la même manière que la population de l'ancienne sauvegarde. Un bon langage de responsabilité dit aux utilisateurs ce qui est connu, ce qui est exclu et ce qui reste incertain. Il devrait être spécifique sans être faussement rassurant. Un avis qui minimise l'événement peut éroder la confiance; un avis qui exagère l'événement peut créer de la confusion et de la fatigue.

Pour la population de la sauvegarde de 2007, un langage précis devait expliquer le risque d'identifiants historiques. Pour la population des digests de juin 2018, il devait expliquer le risque de liaison d'identité. Pour la communauté plus large, il devait expliquer pourquoi une authentification plus forte des employés importait même si les comptes utilisateur ordinaires n'étaient pas directement pris en charge. Ces publics se chevauchent mais ne sont pas identiques.

Un modérateur, un entité à une communauté sensible, un ancien utilisateur avec des mots de passe réutilisés et un abonné récent aux digests peuvent lire le même avis à travers une lentille de risque différente. La responsabilité publique s'améliore lorsque la plateforme donne à chaque groupe suffisamment d'informations pour agir.

À quoi ressemblerait la responsabilité après l'événement

Une réponse responsable à ce type d'incident comporte plusieurs couches. Premièrement, les comptes fournisseurs d'employés à haut risque devraient s'éloigner des deuxièmes facteurs basés sur le SMS vers des méthodes résistantes au hameçonnage ou d'application/dispositif plus fortes, avec une gestion des accès privilégiés et des contrôles conditionnels pour les sessions inhabituelles. Deuxièmement, l'accès aux fournisseurs de cloud et de code source devrait être limité de sorte que la compromission d'un petit nombre de comptes d'employés n'ouvre pas de larges chemins de lecture vers les sauvegardes, le code et les journaux.

Troisièmement, les sauvegardes historiques devraient être inventoriées, chiffrées, segmentées et revues pour la conservation en tant que magasins de données utilisateur, pas comme des artefacts opérationnels inertes.

Quatrièmement, les journaux de digests par e-mail et de notification devraient être classés par risque de liaison. Un journal qui associe un nom d'utilisateur à une adresse e-mail devrait avoir un objectif de conservation, une limite de conservation, une politique d'accès et un modèle de surveillance. Cinquièmement, la réponse aux incidents devrait disposer de preuves automatisées pour les questions de rayon d'explosion: ce qui était lisible, quand, par qui, via quel fournisseur, sous quel privilège et avec quelles catégories de données.

Sixièmement, la notification utilisateur devrait faire la différence entre le risque d'identifiants, le risque de liaison d'identité, le risque de récupération de compte et le risque de hameçonnage. Les utilisateurs concernés ont besoin de conseils concrets liés aux données exposées, pas d'un seul avertissement générique.

La page de la règle de divulgation de cybersécurité de la SEC àhttps://www.sec.gov/news/press-release/2023-139est un contexte utile car les entreprises publiques sont maintenant censées divulguer les incidents de cybersécurité matériels et décrire la gestion des risques de cybersécurité, la stratégie et la gouvernance. L'incident de Reddit de 2018 est antérieur à son inscription en bourse et n'est pas jugé ici sous des règles de divulgation ultérieures. La direction plus large de la responsabilité est toujours pertinente: la gouvernance de la cybersécurité n'est plus simplement une fonction de support technique. C'est une question de conseil d'administration, d'investisseurs, de régulateurs, de confiance des utilisateurs et de résilience opérationnelle.

La dernière leçon est que les anciennes données ne restent pas anciennes lorsqu'elles restent accessibles. Une sauvegarde de 2007 est devenue pertinente en 2018. Un journal d'e-mails de juin 2018 est devenu une exposition d'identité utilisateur car il reliait des comptes et des adresses e-mail. Un contrôle SMS qui pouvait sembler suffisant pour un accès ordinaire est devenu inadéquat pour des sessions fournisseurs privilégiées.

Le cas de Reddit est donc un test de responsabilité durable pour les plateformes qui dépendent de la participation pseudonyme: protégez la porte des employés, mais prouvez aussi que les sauvegardes, les journaux et les enregistrements de communication sont gouvernés avec la même sérieux que les données de compte en direct.

Les conseils actuels sur l'authentification multifacteur de la CISA àhttps://www.cisa.gov/MFAvont dans la même direction pour les opérateurs modernes: une authentification multifacteur plus forte n'est pas un contrôle décoratif, surtout lorsque l'accès privilégié peut atteindre les données utilisateur. Pour le cas de Reddit en 2018, cela signifie que la leçon durable n'est pas un slogan contre les messages texte. C'est une exigence d'aligner la force de l'authentifiant, le privilège du fournisseur, la sensibilité de la sauvegarde, la conservation des journaux et les preuves de notification utilisateur avant que le prochain incident d'accès employé ne transforme une archive historique en un problème de divulgation actuel.