Reddit機密資料洩漏！駭客公開勒索1.3億天價贖金 還要求取消API收費政策？

Reddit傳出遭駭客竊取帳號資料，且遭公開勒索贖金450萬美金。示意圖／路透

你有在用Reddit嗎？作爲一個娛樂、社交及新聞網站，Reddit的註冊使用者可以在上面發佈訊息，讓這個平臺基本上就是一個電子布告欄系統，上面當然也累積衆多資訊，不過在今年2月Reddit卻遭駭客入侵，也引發了後續被自稱BlackCat的駭客團體勒索450萬美元，這個非常戲劇化的事件！

事情始於今年2月，Reddit公告表示有駭客團體透過網路釣魚信件，讓一名Reddit員工上鉤，並泄露了內部系統的登入憑證，駭客成功取得員工個資、程式碼及業務系統存取憑證，不過平臺方表示，沒有任何用戶相關個資如密碼、帳號或信用卡等資訊外流，後來Reddit也沒有針對此事後續公佈相關調查資訊。

直到這個禮拜，一位資安專家發現了駭客團體BlackCat（ALPHV）的部落格貼文，宣稱自己就是2月駭入Reddit的團體，並以當時取得的80GB機密資料勒索贖金450萬美元，還要求其不要實施API收費政策，除了贖金金額龐大以外（相當於臺幣一億三千多萬），API收費政策也是近期一大議題，可見駭客團體認爲他們掌握的資料至關重要，纔敢提出這些條件，不過爲什麼這次的勒索會是公開的呢？原來，據BlackCat的說法，他們在4/13和6/16都分別有接觸過Reddit，但沒有獲得迴應。

關於此事件，Reddit發言人則是向CNN證實，BlackCat的文章確實與2月的事件有關，不過發言人重申，因爲駭客沒有取得沒有任何用戶相關個資如密碼、帳號或信用卡等資訊，所以拒絕繼續對事件發表評論。這件事情或許在API收費政策推動前夕，又給了Reddit更大的壓力，駭客組織的行爲似乎是在支持反對API收費，而目前因爲抗議API收費，還有3,500個版持續關閉着。

不過有鑑於BlackCat自己的說法，他們並不認爲Reddit會答應支付贖金，或是取消API收費政策，因此這次行動的真正動機還尚待釐清，而外媒專家則是建議，手上擁有大量個資的平臺，應該要爲了防範勒贖行爲加強資安防護能力，尤其不能讓員工被網路釣魚這種手法，就上鉤泄漏系統登入資訊啊！

《原文刊登於合作媒體電獺少女，聯合新聞網獲授權轉載。》