Il y a environ deux semaines, des rapports ont filtré sur le subreddit r/btc, dédié au Bitcoin Cash, qui parlaient de comptes Reddit compromis par un style d’attaque nouveau et plutôt inquiétant.
Il a été aujourd’hui confirmé un véritable hack qui a permis à des pirates d’accéder à une vingtaine de comptes d’utilisateurs de Reddit. Et il semble que les attaquants ont exploité la vulnérabilité pour voler entre 2000 et 4000 dollars en Bitcoin Cash.
Reddit victime d’une faille qui permet aux hackers de voler des milliers de dollars en Bitcoin Cash
Une des premières actions du hacker a été de compromettre le compte d’un modérateur de r/btc le 20 décembre. Le hacker a ensuite utilisé les droits d’administration du compte piraté pour, entre autres choses, reconfigurer le subreddit r/btc afin qu’il pointe vers son rival, r/bitcoin. Après qu’environ une dizaine de rapports de comptes compromis soient apparus, plus de détails ont émergé sur la façon dont les hacks ont été accomplis.
L’exploit a permis aux pirates de demander une réinitialisation de mot de passe pour les comptes ciblés, puis de cliquer sur le lien généré sans ouvrir l’e-mail dans lequel il avait été envoyé. Un utilisateur témoigne même que son compte a été piraté alors que la vérification à deux facteurs était activée, ce qui est très préoccupant.
Ce qui a permis au hacker de voler l’argent sous forme de Bitcoin Cash, c’est le bot Tippr déployé sur le subreddit r/btc. Ce bot est notamment utilisé pour récompenser un commentaire apprécié. En taguant quelqu’un et en désignant un montant, Tippr peut retirer un montant Bitcoin Cash de votre portefeuille et l’attribuer au destinataire. Le pirate informatique a donc utilisé les comptes piratés pour demander des retraits de Tippr via Reddit.
La réponse de Reddit ? « Par mesure de précaution immédiate, nous avons déplacé les e-mails de réinitialisation vers un serveur de messagerie interne. » Le voleur, lui, court toujours…