Reddit maakt melding van iemand die toegang kreeg tot een elf jaar oude databaseback-up met gebruikersnamen, salted & hashed wachtwoorden, mailadressen en posts en pm's. Daarnaast zijn ook recentere e-mailadressen in combinatie met gebruikersnamen uitgelekt.
De bekendmaking staat op het moment van schrijven bovenaan de voorpagina van de populaire online gemeenschap. Gebruikers die in de oude back-up voorkomen waarvan het wachtwoord misschien nog hetzelfde is, krijgen een bericht en een automatische wachtwoordreset. Hoe sterk de versleuteling op die wachtwoorden is, wordt niet gemeld.
Naast de oudere back-up had de aanvaller ook toegang tot logboeken van e-mail-digests de dato 3 juni tot 17 juni van dit jaar. In die logboeken staan niet alleen de gemailde sfw-postoverzichten zelf, maar ook de mailadressen waar ze naar verstuurd zijn en de geassocieerde gebruikersnaam. Gebruikers die dus geen e-mailadres hebben opgegeven in hun Reddit-profiel, of die van 3 tot 17 juni niet geabonneerd waren op de digests, vallen hier dus buiten schot.
Reddit benadrukt dat gebruikers van wie de digests zijn gelekt, moeten nagaan of ze posts hebben gemaakt waarbij ze als auteur liever anoniem zouden willen blijven. De site heeft een hulppagina met instructies voor het verwijderen van deze openbare data, indien gewenst.
De aanvaller verkreeg de gebruikersdata toen hij toegang kreeg tot de accounts van verschillende Reddit-medewerkers bij de cloud- en sourcecode-hosters van de site. Die waren met tweetrapsauthenticatie beveiligd, maar de aanvaller heeft vermoedelijk de verificatie-sms onderschept. Hij of zij heeft alleen read-only-toegang gekregen. De hack heeft ergens tussen 14 en 18 juni plaatsgevonden en kwam intern aan het licht op 19 juni. Reddit zegt de aanval bij de autoriteiten te hebben gemeld.