ハッカーらは、同社が身代金要求を支払い、物議を醸しているAPIの値上げを撤回しない限り、Redditから盗んだ機密データを公開すると脅している。
ALPHV としても知られる BlackCat ランサムウェア集団は、ダークウェブ漏洩サイトへの投稿で、2 月に同社のシステムに侵入した際に Reddit から 80 ギガバイトの圧縮データを盗んだと主張しています。
Redditの広報担当ジーナ・アントニーニ氏はTechCrunchの質問に答えることを拒否したが、BlackCatの主張は2月9日にRedditによって確認されたサイバー事件に関連していることを認めた。当時、RedditのCTOクリストファー・スロー(別名KeyserSosa)氏は、ハッカーが不正アクセス中に従業員情報や内部文書にアクセスしたと述べた。 「高度に標的を絞った」フィッシング攻撃。 スロー氏は、同社にはパスワードやアカウントなどの個人ユーザーデータが盗まれたという「証拠はない」と付け加えた。
Redditは、この攻撃に関する詳細や、その背後にいる人物については明らかにしなかった。 しかし、BlackCatは先週末、2月の侵入の犯行声明を出し、侵入中に盗まれた「機密」データを漏らすと脅迫した。 ハッカーがどのような種類のデータを盗んだのかは正確には不明であり、BlackCatはデータ盗難の証拠を一切共有していない。
BlackCatは、ハッカーが同社から大量の顧客情報を含む10テラバイトのデータを盗んだ、3月のWestern Digitalへの攻撃にも関連していた。 同月、この組織はアマゾン傘下のビデオ監視会社リングから盗んだとされるデータを漏らすと脅迫した。
土曜日に公開された「The Reddit Files」と題された投稿の中で、BlackCatはRedditに2度連絡を取った(1回目は4月13日、2回目は6月16日)が応答がなかったと述べている。 「私は最初のメールで、IPO が実現するまで待つつもりだと伝えました。 しかし、これは絶好のチャンスのようです! 私たちはRedditがデータに対して一切金銭を支払わないと強く確信しています」とBlackCatは書いている。 「データが漏洩することが予想されます。」
ハッカーらは、盗んだデータを削除することと、レディットがAPIの価格変更を撤回することと引き換えに、450万ドルを要求しているとしている。
Reddit の新しい API 価格プランは、ここ数週間多くの論争の的となっています。人気のサードパーティ Reddit アプリ Apollo は、新しい価格設定の結果としてサービスを終了すると発表し、先週、数千のサブレディットが新しい API に抗議して暗転しました。ポリシー – r/music や r/video などの一部は無期限です。
TechCrunchの質問に対し、RedditはBlackCatの要求に応じるつもりかどうかについては明言を避けた。
Reddit は 2018 年にさらに深刻なデータ侵害を経験し、攻撃者は 2007 年の Reddit データの完全なコピーにアクセスしました。これには、ユーザー名、ハッシュ化されたパスワード、電子メール、公開投稿、プライベート メッセージが含まれていました。