У пользователей Reddit украли Bitcoin Cash через сервис Mailgun
Злоумышленник взломал аккаунт работника Mailgun, стороннего сервиса для отправки писем пользователям, через него запросил письма о смене паролей аккаунтов Reddit и очистил счета Bitcoin Cash.
В конце года пользователи Reddit сообщили администрации, что после несанкционированного письма о смене пароля с их счёта, привязанного к аккаунту, исчезли все Bitcoin Cash. Расследование показало, что злоумышленник взломал аккаунт работника Mailgun, стороннего сервиса для отправки писем пользователям, и через него запрашивал смену паролей.
К сервису Reddit у него доступа нет.
Еще до того, как Mailgun подтвердил уязвимость своей системы, администрация Reddit перенесла на внутренний почтовый сервер все аккаунты со сброшенными паролями – таковых оказалось меньше двадцати.
Сейчас оба сервиса продолжают совместную работу, чтобы убедиться, что выявлены все скомпрометированные аккаунты.