你有在用 Reddit 嗎?作為一個娛樂、社交及新聞網站,Reddit 的註冊使用者可以在上面發布訊息,讓這個平台基本上就是一個電子佈告欄系統,上面當然也累積眾多資訊,不過在今年 2 月 Reddit 卻遭駭客入侵,也引發了後續被自稱 BlackCat 的駭客團體勒索 450 萬美元,這個非常戲劇化的事件!
事情始於今年 2 月,Reddit 公告表示有駭客團體透過網路釣魚信件,讓一名 Reddit 員工上鉤,並洩露了內部系統的登入憑證,駭客成功取得員工個資、程式碼及業務系統存取憑證,不過平台方表示,沒有任何用戶相關個資如密碼、帳號或信用卡等資訊外流,後來 Reddit 也沒有針對此事後續公布相關調查資訊
直到這個禮拜,一位資安專家發現了駭客團體 BlackCat(ALPHV)的部落格貼文,宣稱自己就是 2 月駭入 Reddit 的團體,並以當時取得的 80GB 機密資料勒索贖金 450 萬美元,還要求其不要實施 API 收費政策,除了贖金金額龐大以外(相當於台幣一億三千多萬),API 收費政策也是近期一大議題,可見駭客團體認為他們掌握的資料至關重要,才敢提出這些條件,不過為什麼這次的勒索會是公開的呢?原來,據 BlackCat 的說法,他們在 4/13 和 6/16 都分別有接觸過 Reddit,但沒有獲得回應
關於此事件,Reddit 發言人則是向 CNN 證實,BlackCat 的文章確實與 2 月的事件有關,不過發言人重申,因為駭客沒有取得沒有任何用戶相關個資如密碼、帳號或信用卡等資訊,所以拒絕繼續對事件發表評論。這件事情或許在 API 收費政策推動前夕,又給了 Reddit 更大的壓力,駭客組織的行為似乎是在支持反對 API 收費,而目前因為抗議 API 收費,還有 3,500 個版持續關閉著
不過有鑒於 BlackCat 自己的說法,他們並不認為 Reddit 會答應支付贖金,或是取消 API 收費政策,因此這次行動的真正動機還尚待釐清,而外媒專家則是建議,手上擁有大量個資的平台,應該要為了防範勒贖行為加強資安防護能力,尤其不能讓員工被網路釣魚這種手法,就上鉤洩漏系統登入資訊啊!
(新聞來源:Techcrunch、Reddit、CNN)
💞 電獺少女 LINE 官方帳號好友募集中!精選每日科技新聞和促咪事件,還有各類 App 的密技心得,就差你沒加!
