Reddit-Hack: Erpresser verlangen nicht nur Lösegeld, auch die kontroversen Änderungen spielen eine Rolle

Eine Hackergruppe verlangt von Reddit neben Lösegeld auch die Umkehr der angekündigten API-Änderungen.

Das Tauziehen um die Seele von Reddit geht in die nächste Runde: Eine Hackergruppe erklärte, dass man insgesamt 80 Gigabyte an Daten von der Social-Media-Plattform erbeutet habe und stellt nun zwei Forderungen an die Webseite, um die Veröffentlichung zu verhindern.

Dabei geht es nicht nur um Geld: Zwar verlangt die Gruppe BlackCat auch ein Lösegeld in Höhe von 4,5 Millionen US-Dollar, doch der Knackpunkt ist die Forderung, dass Reddit die angekündigten Änderungen an der API zurücknimmt.

Hiermit ist das Vorhaben Reddits gemeint, dass der bisher kostenfreie Zugriff auf die API teurer werden soll - und zwar deutlich: Die beliebte App Apollo muss etwa dichtmachen, weil die Kosten mit 20 Millionen US-Dollar im Jahr schlicht zu hoch sind.

Auch in nahezu allen großen Subreddits sind die API-Änderungen das derzeit bestimmende Thema und haben unter anderem zu einem mehrtägigen Streik geführt.

API-Streit

Aufruhr bei Reddit? Communitys gehen heute in den Streik und schalten sich ab

von Alana Friedrichs

Zurück zum Hack: Die geklauten Daten stammen laut dem Portal The Verge vom Februar 2023, nachdem ein Reddit-Mitarbeiter einer Phishing-Attacke zum Opfer gefallen war.

Bis hierhin gab es allerdings keine Person oder Gruppe, die sich zu dem Hack bekannt hat. Die Querelen um die API-Änderungen nahm BlackCat nun allerdings zum Anlass, sich mit einem Schreiben zu melden, welches zuerst auf Twitter vom Sicherheitsforscher Dominic Alvieri aufgenommen wurde.

Empfohlener redaktioneller Inhalt

An dieser Stelle findest du einen externen Inhalt von Twitter, der den Artikel ergänzt.
Du kannst ihn dir mit einem Klick anzeigen lassen und wieder ausblenden.

Twitter-Inhalte erlauben

Ich bin damit einverstanden, dass mir Inhalte von Twitter angezeigt werden.

Personenbezogene Daten können an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Link zum Twitter-Inhalt

Wir glauben nicht, dass Reddit für die Daten zahlen wird

Das Bekennerschreiben spricht davon, dass nach dem Datenklau mit 80 Gigabyte an gezippten Dateien zwei E-Mails an die Betreiber von Reddit geschickt wurden.

In dieser ersten E-Mail, die am 13. April verschickt wurde, ging es wohl zunächst nur um die Lösegeldforderung, ehe der Hack öffentlich gemacht werde. Laut der Hackergruppe wollte man mit diesem Schritt allerdings warten, bis der geplante Börsengang von Reddit vollzogen wurde.

Eine zweite E-Mail sei am 16. Juni versandt worden, also wenige Tage nachdem die API-Diskussionen losgetreten wurden. Die Sachlage schien laut dem Schreiben wie die perfekte Gelegenheit, denn man sei sich sicher, dass Reddit für die Daten nicht zahlen wird.

Schließlich habe niemand nachgefragt, welche Daten überhaupt von Reddit gestohlen wurden.

Damit würde Reddit-CEO Steve Huffman einen weiteren Beweis dafür liefern, was für ein Charakter er sei. Huffman gibt vor, er wäre hart - aber es sei auch klar, was mit solchen Individuen an Führungspositionen über kurz oder lang passiert.

Die harte linie von huffman

Reddit-Blackout: CEO behauptet, dass es bald vorbei sein wird - die Community sieht das anders

von Jan Stahnke

Als vergleichbares Beispiel bringt BlackCat mit Adam Neumann, dem ehemaligen CEO von WeWork. Dieser wurde im September 2019 aufgrund von Kontroversen um Neumanns Führungs- und Managementstil vom Aufsichtsrat des börsennotierten Unternehmens geworfen.

Welche Reddit-Daten wurden gestohlen?

Laut dem Schreiben sollen unter anderem Daten vorhanden sein, die aufzeigen, welche Statistiken Reddit über seine Nutzer sammelt.

Zudem befinden sich interessante, vertrauliche Dateien unter den 80 Gigabyte. Auch der Vorwurf, dass Reddit seine Nutzer heimlich zensiere, wird hier in den Raum geworfen.

BlackCat geht abschließend davon aus, dass die Daten tatsächlich an die Öffentlichkeit gelangen werden - nicht zuletzt auch, weil Reddit bislang kein Statement zur Erpressung herausgegeben hat.

Abschließend wird auch Huffman nochmal direkt angesprochen: Dieser solle die Fackel weitergeben, denn er sei in den Augen der Hackergruppe nicht länger für seine Arbeit geeignet.

Der API-Streit geht in die nächste Runde: Soll Reddit den Forderungen nachgeben oder hart bleiben? Welche Auswirkungen könnte der Hack auf Reddit haben? Werdet ihr Reddit auch ohne Drittanbieter-Apps wie Apollo weiternutzen? Lasst es uns in den Kommentaren wissen!