TL;DR: Account vecchio di 10 anni violato nonostante 2FA + password ultra-forte. Reddit prima mi ha bannato, poi mi ha bannato nuovamente senza spiegazioni. La probabile origine: furto di cookie di sessione tramite un’estensione del browser dannosa. Controlla le tue estensioni adesso!
Il mio profilo
- Conto di 10 anni (185k karma, 3.013 contributi, 0 rapporti in 10 anni)
- 2FA abilitato tramite Aegis Authenticator (genera codici di autenticazione ogni minuto)
- Password univoca ultraresistente generata da Firefox (a sua volta protetta da 2FA)
- Antivirus + Firewall
Quello che è successo
Notte del 2-3 ottobre: Il mio account pubblica post "porno" alle 2 di notte dagli IP americani.
3 ottobre, ore 9: Ho scoperto l’hacking, ho cambiato la mia password, ho cancellato i post, ho contattato Reddit con le prove (registri IP statunitensi rispetto alle mie connessioni FR fisse per 5 anni).
3 ottobre, 14:30: Divieto temporaneo per "manipolazione del voto" su post fraudolenti.
3 ottobre, 18:51: Divieto permanente senza giustificazione.
4 ottobre: Chiamata rifiutata in 8 minuti.
6 ottobre: Account riattivato senza spiegazione.
Pochi giorni dopo, anche il mio account Amazon è stato compromesso.
Com’è possibile nonostante la 2FA?
Dopo aver pubblicato quello che mi è successo su HackerNewsla probabile risposta degli esperti: furto di cookie di sessione tramite estensione dannosa del browser. Con i tuoi cookie, un utente malintenzionato può accedere ai tuoi account senza bisogno della tua password o 2FA.
Sto pubblicando solo ora, perché indagine pubblicata da Koi Security l’altro ieri mi ha fatto capire l’entità del problema. ShadyPandaun attore malintenzionato attivo da 7 anni, infetto 4,3 milioni di browser tramite estensioni Chrome ed Edge apparentemente legittime.
Il loro modo di lavorare:
- Fase 1: Creare estensioni legittime (sfondi, produttività, ecc.)
- Fase 2: Accumula utenti e ottieni badge "In primo piano" et "Verificato" Google/Microsoft
- Fase 3: Dopo anni di normale funzionamento, viene inviato un aggiornamento dannoso
Rubano: ogni URL visitato, cronologia completa, query di ricerca, cookie e possono persino eseguire codice arbitrario in remoto.
Anche oggi, Sono ancora attive 5 estensioni con 4 milioni di utenti sullo Store.
Alcuni consigli per evitare che ciò accada anche a te
In generale, meno estensioni hai installato, meglio è. Disinstalla quelli che non usi più.
Prima di installare un’estensione:
- Attenzione ai badge "Verificato" — ShadyPanda dimostra di non garantire nulla
- Leggi i permessi richiesti – Non è necessario accedere a un’estensione dello sfondo "tutti i tuoi siti web"
- Cerca il nome dell’editore — Un editore sconosciuto o con un nome generico è un campanello d’allarme
- Preferisci le estensioni open source — Il codice può essere verificato dalla comunità
Per limitare i danni:
- Abilita gli avvisi di connessione quando possibile
- Utilizza profili browser separati per le tue attività sensibili (banche, acquisti)
La 2FA e una buona password non bastano più. Se un’estensione dannosa ha accesso ai tuoi cookie, il gioco è fatto. Controlla le tue estensioni adesso!
Modifica: quali estensioni sospetto nel mio caso?
Non ho mai potuto confermarlo con certezza, perché utilizzo regolarmente 4 PC diversi (lavoro/casa/viaggio). Tutti e 4 con Firefox, ma ognuno con estensioni diverse. Immagino che fosse una di quelle estensioni che migliora YouTube (interfaccia o forza video in VO piuttosto che con il loro orribile doppiaggio AI).
Mon compte Reddit a été piraté malgré la 2FA — et je pense avoir compris comment
byu/guilamu infrance
di guilamu
44 commenti
Merci !
Je viens de cleaner mes extensions que je n’utilise plus.
Content de voir que tu ai pu récuperer ton compte, welcome back !
On dirait un poste chatGPT..
Compte call of bannis après avoir été piraté avec a2f . J’etais complètement fou
merci pour tous ces conseils. Je viens de faire le ménage dans mes extensions
en général, je n’installe aucune extension si je vois qu’elle n’est pas “populaire”, ça m’évite d’installer n’importe quoi. ici, ça prouve que je me serais infecté quand même.
et du coup, tu as fait comment pour être réactivé par reddit?
C’est curieux quand même pour un site d’accepter un même cookie de session sur 2 adresses IP différentes qui plus est à des millers de km.
Très intéressant OP merci.
Question est-ce que les authentifications « Se connecter via » Google/Apple/etc. permettent de se protéger de cette technique ?
Ca me fait penser à l’infection assez “simple” de VSCode. Publication d’une extension toute bête genre un thème, accumulation des utilisateurs, gain d’autorisation et pouf, l’auteur a accès à des milliers de codes produit par ses utilisateurs tout en contournant n’importe quelle protection.
Finalement c’est un peu comme les VPN. Moralité, ne jamais garder les sessions ouvertes sur votre PC.8 Et vérifier vos extensions tout en installant le minimum nécessaire avec le minimum d’autorisations.
Par curiosité, et dans un but préventif uniquement, tu as gardé les photos publiées par le malandrin ?
Merci pour l’info. Et aussi une mesure toute simple: se déconnecter proprement après avoir terminé votre activité. Cela permet d’invalider le cookie de session
Par curiosité, quelle était l’extension en question ? Tu le sais ?
Pourquoi ne pas donner les noms des extensions directement
Merci pour ces rappels d’hygiènes numériques !
> Phase 3 : Après des années de fonctionnement normal, pousser une mise à jour malveillante
Je fais aucune MAJ, mes extensions sont open source & je check qu’elles sont fiables autant que je peux. Mais même avec ça le risque 0 existe pas, les extensions c’est vraiment une grosse menace pour les données de la majorité des personnes. Les extensions les plus populaires peuvent avoir des grosses offres d’achat venant d’entreprises qui veulent récupérer ces données (j’avais vu des chiffres à 30 centimes par utilisateur, si t’as 500k utilisateurs tout le monde est pas en position de refuser). L’Open Source est une forme de protection à condition de se taper les lignes de codes pour vraiment vérifier que les données vont pas n’importe où (et idéalement qu’elles vont nulle part).
Bref privilégiez moins d’extensions, prenez les sur github, et des extensions pas trop complexes (ils doivent pas pouvoir cacher un virus dans le code).
C’est un problème pour toutes les extensions de tous les logiciels, même les mods de jeux ont ce soucis. Idéalement faudrait pouvoir bloquer l’accès à internet aux extensions qui n’en ont pas besoin, et/ou n’autoriser que des extensions open sources et vérifier leur code, avec signature par des organismes fiables, et sans MAJ non signées. Mais ça complexifie tout et c’est peu compatible avec le modèle économique actuel des extensions.
Merci pour ça OP
Allez OP, tu publies du porn et tu t’es fait choper par ton/ta SO et tu cherches à justifier on a compris.
Vol de cookies ..
Merci pour ce rappel. Les extensions web sont une porte d’entrée (ou de sortie) dévastatrice.
Les extensions sont une possibilité parmi tant d’autres ! Une fois un PC infecté il a toujours été facile de récupérer les cookies pour contourner le 2FA ou même se connecter sans connaître le mdp. C’est pour cela que par exemple Steam ou les banques ont mis en place des solutions pour corriger ce problème en demandant un code à chaque connexion.
Est-ce que désactiver les mises à jour automatiques des extensions peut suffire à éviter ça ?
Merci pour ce poste et bon retour !!! Il faut vraiment faire attention à tout et bien surveiller… Le ban définitif et l’appel refusé malgré un contact initié par toi et des screens ça fait un peu peur, même si j’entends que ça n’est pas forcément une preuve et que reddit doit protéger ses utilisateurs (l’opposé de Discord où des comptes piratés restent actif et volent des données même après des signalement par le formulaire/les connexions illicites/les posts détaillant la situation et messages envoyés sur toutes les plates-formes du support)
Recemment j’ai installe une extension adblocker et j’ai remarque que mon chrome arretait pas de freeze . Je l’ai desinstalle et je n’ai plus ce probleme . J’espere que c’etait une des ces fameuses extensions malveillantes . Merci pour l’info !
Thumbs up. Merci pour cet avertissement.
Salut ! Par rapport à la raison pou les posts porno, tu penses que c’est une forme de troll ou une promotion de trucs payants pour se faire des sous ?
Et dans ton cas, tu soupçonnes quelles extensions ?
Si tu te delog pas, la 2FA est pas très utile (comme t’as pu le voir).
C’est pour ça que les banques et autres sites sérieux vous delog au bout de 10 minutes.
(Et je suis daccord avec toi, Reddit aurait dû lever un sourcil en voyant ta session depuis les US)
C’était pas la chaine de Wankil Studio qui s’était fait hack de la même manière ? C’est ouf de se dire qu’ils peuvent pirater sans avoir le mdp
Ouaip, c’est un truc qui se fait pas mal en ce moment. Des cookie lié au device sont en train d’être mis en place pour palier à ça (lentement mais sûrement…)
Franchement je conseil au gens d’avoir plusieurs profile pour leurs navigateur. Avec tous le temps : ublock and https everywhere. Ensuite tu fais un profile pour ce qui est du perso avec des compte mail, reddit, RS. Pas de merdouille dessus (pas d’extension fantaisiste etc) Un profile pour les truc de streaming Netflix canal+ YT, etc (ils rajoutes des plug-in lié au drm pas cool donc tu peux déjà considérer que ce profil est “compromis”) sur lui tu peux mettre tes extensions x y z. Ne jamais mettre à jour les extensions (oui oui vous avez bien entendu)
Bref plusieurs profile ca sert à ça. Un profile pour tout c’est la cata (vous pouvez même faire des raccourci avec une icône custom sur chaque profil pour accès rapide et même customiser le thème de chaque profile comme ça on se trompe pas, profile theme rouge = attention important, bleu=fait dla merde si tu veux osef)
Et oui, une bonne vieille attaque MITM (https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu). Le coup de l’extension est pas mal, mais pour le vol de jeton de session, on rencontre plus fréquemment un site frauduleux qui affiche le vrai dans une iframe. C’est totalement transparent et la victime ne se rend compte de rien puisqu’elle se connecte sur le site authentique.
Avec les fuites de données des différents FAI, France Travail, etc, c’est très simple de faire un email convaincant avec un lien vers un domaine voisin (ex [francetravaille.fr](http://francetravaille.fr) au lieu de francetravail) qui affichera du coup le véritable francetravail.fr.
Je n’utilise aucune extension
Récemment, un faux uBlock Origin est apparu sur le store Edge ou Chrome.
L’extension a déjà été signalée à l’équipe de l’extension légitime, mais Edge/Chrome n’ont pas fait grand chose, en tout cas hier.
Il y a eu tentative de connexion sur mon ancien compte. Ils m’ont demandé de refaire mon mot de passe. Le mail qui avait créé le compte était sur hotmail et a disparu. Pas possible de changer le mail. Donc compte bloqué.
J’avais pas mal de karma et surtout il était vieux donc je l’aimais bien (2009 je crois).
Je reste toujours triste…
Je me suis aussi fait poutré mon compte Reddit il y a un mois environ. Mêmes tripotée de posts de cochonneries.
J’ai mis ça sur le compte d’une fuite de mdp mais maintenant tu me mets le doute.
Je vais Check mes extensions.
Et genre ca sert a quoi un compte redit genre cest cool d’en avoir un ancien perso rien a foutre
Cette technique a été documentée par l’ANSSI dès 2022, j’en avais [un article sur mon blog](https://0x42.info/piratage-vol-de-cookies/). Sauf qu’à cette « époque » la technique de passer par les extensions n’était pas encore connue, les pirates se servaient surtout de sites web vérolés avec l’espoir que les visiteurs acceptent les cookies, mais aussi eux-mêmes vérolés pour aller fouiller dans les autres.
Selon ta description, c’est peut-être à la même époque qu’ils auraient mis en ligne leurs extensions (pour les plus malins et patients) et ont attendu d’avoir un paquet d’utilisateurs et bonnes notes pour déclencher le piratage à grande échelle.
Oui, c’est aussi comme ca qu’on peut pirater n’importe quel compte sur un site internet, c’est un vecteur d’attaque connu, que les entreprises traînent a endiguer.
On peut par exemple voler des cookies Google juste avec une pièce jointe dans Gmail, et Google n’as toujours pas corrigé ça.
Les extensions c’est bien mais pas suffisant. C’est extrêmement chiant mais une solution radicale serait d’activer la suppression automatique des cookies a la fermeture de son navigateur, il me semble que la plupart l’ont.
Tu soupçonne des extensions en particulier ?
Plus largement, quelles sont les extensions soupçonnées ?
AI slop ☝️
Merci 🙏🙏🙏🙏🙏
Il y a aussi le cas d’extensions populaires et sérieuses qui finissent par être revendues car leur mainteneur veut passer à autre chose tout en palpant un peu et ceux qui mettent le pognon le font rarement par altruisme. Ne pas hésiter à suivre le développement des extensions via les dépôts github ou les blogs/forums
J’ai zéro extensions pour cette raison sur mon browser “important”. L’autre browser est lancé avec runas.. avec un autre compte qui n’a que le droit d’écrire sur un folder et de lire les folders systems.
Quand tu mets à jour l’extension, elle va demander de nouvelles permissions et ça va te demander d’accepter, non, j’imagine ? C’est quelle permission qui permet d’avoir accès aux cookies, et est ce qu’il est possible de dire de ne jamais autoriser ça ?
Ah oui c’est chaud à ce niveau. Ce que je comprends pas par contre c’est d’arriver a un niveau hyper élevé de piratage avec des accès du coup à des centaines de compte et possiblement du coup des CB enregistrés comme Amazon comme tu cites. Pour finalement poster des redirections porn que ton reddit il y a quelque chose qui cloche …. C’est un peu comme si le mec il arrive a pénétrer les coffres de la banque de France avec tous les lingots et qu’il se fait choper en train de tirer la chaise du bureau.
Merci
Je viens de clean mes extensions merci pour l’info et le partage des liens dans ton message
Bonne soirée
Si je ne dis pas de bêtises, c’est comme ça que Linus Tech Tips et bien d’autres se retrouvent avec leur chaine Youtube qui font de live de cryptos avec Elon Musk…