TL;DR: 10 year old account hacked despite 2FA + ultra-strong password. Reddit first banned me, then re-banned me without explanation. The probable origin: theft of session cookies via a malicious browser extension. Audit your extensions now!
My profile
- 10 year account (185k karma, 3,013 contributions, 0 reports in 10 years)
- 2FA enabled via Aegis Authenticator (generates authentication codes every minute)
- Ultra-strong unique password generated by Firefox (itself protected by 2FA)
- Antivirus + Firewall
What happened
Night of October 2-3: My account publishes posts "porn" at 2 a.m. from American IPs.
October 3, 9 a.m.: I discovered the hack, changed my password, deleted the posts, contacted Reddit with proof (US IP logs vs. my fixed FR connections for 5 years).
October 3, 2:30 p.m.: Temporary ban for "vote manipulation" on fraudulent posts.
October 3, 6:51 p.m.: Permanent ban without justification.
October 4: Call refused in 8 minutes.
October 6: Account reactivated without explanation.
A few days later, my Amazon account was also compromised.
How is this possible despite 2FA?
After posting what happened to me on HackerNewsthe probable answer from the experts: session cookie theft via malicious browser extension. With your cookies, an attacker can log into your accounts without ever needing your password or 2FA.
I am only publishing now, because investigation published by Koi Security the day before yesterday made me understand the magnitude of the problem. ShadyPandaa malicious actor active for 7 years, infected 4.3 million browsers via seemingly legitimate Chrome and Edge extensions.
Their way of working:
- Phase 1 : Create legitimate extensions (wallpapers, productivity, etc.)
- Phase 2 : Accumulate users and get badges "Featured" et "Verified" the Google/Microsoft
- Phase 3 : After years of normal operation, pushing a malicious update
They steal: every URL visited, complete history, search queries, cookies, and can even execute arbitrary code remotely.
Even today, 5 extensions with 4 million users are still active on the Store.
Some tips to prevent this from happening to you
Generally speaking, the fewer extensions you have installed, the better. Uninstall those you no longer use.
Before installing an extension:
- Beware of badges "Verified" — ShadyPanda proves that it doesn’t guarantee anything
- Read the requested permissions — A wallpaper extension does not need access to "all your websites"
- Search for the publisher’s name — An unknown publisher or one with a generic name is a red flag
- Favor open-source extensions — The code can be audited by the community
To limit the damage:
- Enable connection alerts when possible
- Use separate browser profiles for your sensitive activities (banking, shopping)
2FA and a good password are no longer enough. If a malicious extension has access to your cookies, you’re done. Audit your extensions now!
Edit: What extensions do I suspect in my case?
I have never been able to confirm this with certainty, because I use 4 different PCs regularly (work / home / travel). All 4 with Firefox, but each with different extensions. I guess it was one of those extensions that improves YouTube (interface or force videos in VO rather than with their horrible AI dubbing).
Mon compte Reddit a été piraté malgré la 2FA — et je pense avoir compris comment
byu/guilamu infrance
Posted by guilamu
43 Comments
Merci !
Je viens de cleaner mes extensions que je n’utilise plus.
Content de voir que tu ai pu récuperer ton compte, welcome back !
Compte call of bannis après avoir été piraté avec a2f . J’etais complètement fou
merci pour tous ces conseils. Je viens de faire le ménage dans mes extensions
en général, je n’installe aucune extension si je vois qu’elle n’est pas “populaire”, ça m’évite d’installer n’importe quoi. ici, ça prouve que je me serais infecté quand même.
et du coup, tu as fait comment pour être réactivé par reddit?
C’est curieux quand même pour un site d’accepter un même cookie de session sur 2 adresses IP différentes qui plus est à des millers de km.
Très intéressant OP merci.
Question est-ce que les authentifications « Se connecter via » Google/Apple/etc. permettent de se protéger de cette technique ?
Ca me fait penser à l’infection assez “simple” de VSCode. Publication d’une extension toute bête genre un thème, accumulation des utilisateurs, gain d’autorisation et pouf, l’auteur a accès à des milliers de codes produit par ses utilisateurs tout en contournant n’importe quelle protection.
Finalement c’est un peu comme les VPN. Moralité, ne jamais garder les sessions ouvertes sur votre PC.8 Et vérifier vos extensions tout en installant le minimum nécessaire avec le minimum d’autorisations.
Par curiosité, et dans un but préventif uniquement, tu as gardé les photos publiées par le malandrin ?
Merci pour l’info. Et aussi une mesure toute simple: se déconnecter proprement après avoir terminé votre activité. Cela permet d’invalider le cookie de session
Par curiosité, quelle était l’extension en question ? Tu le sais ?
Pourquoi ne pas donner les noms des extensions directement
Merci pour ces rappels d’hygiènes numériques !
> Phase 3 : Après des années de fonctionnement normal, pousser une mise à jour malveillante
Je fais aucune MAJ, mes extensions sont open source & je check qu’elles sont fiables autant que je peux. Mais même avec ça le risque 0 existe pas, les extensions c’est vraiment une grosse menace pour les données de la majorité des personnes. Les extensions les plus populaires peuvent avoir des grosses offres d’achat venant d’entreprises qui veulent récupérer ces données (j’avais vu des chiffres à 30 centimes par utilisateur, si t’as 500k utilisateurs tout le monde est pas en position de refuser). L’Open Source est une forme de protection à condition de se taper les lignes de codes pour vraiment vérifier que les données vont pas n’importe où (et idéalement qu’elles vont nulle part).
Bref privilégiez moins d’extensions, prenez les sur github, et des extensions pas trop complexes (ils doivent pas pouvoir cacher un virus dans le code).
C’est un problème pour toutes les extensions de tous les logiciels, même les mods de jeux ont ce soucis. Idéalement faudrait pouvoir bloquer l’accès à internet aux extensions qui n’en ont pas besoin, et/ou n’autoriser que des extensions open sources et vérifier leur code, avec signature par des organismes fiables, et sans MAJ non signées. Mais ça complexifie tout et c’est peu compatible avec le modèle économique actuel des extensions.
Merci pour ça OP
Allez OP, tu publies du porn et tu t’es fait choper par ton/ta SO et tu cherches à justifier on a compris.
Vol de cookies ..
Merci pour ce rappel. Les extensions web sont une porte d’entrée (ou de sortie) dévastatrice.
Les extensions sont une possibilité parmi tant d’autres ! Une fois un PC infecté il a toujours été facile de récupérer les cookies pour contourner le 2FA ou même se connecter sans connaître le mdp. C’est pour cela que par exemple Steam ou les banques ont mis en place des solutions pour corriger ce problème en demandant un code à chaque connexion.
Est-ce que désactiver les mises à jour automatiques des extensions peut suffire à éviter ça ?
Merci pour ce poste et bon retour !!! Il faut vraiment faire attention à tout et bien surveiller… Le ban définitif et l’appel refusé malgré un contact initié par toi et des screens ça fait un peu peur, même si j’entends que ça n’est pas forcément une preuve et que reddit doit protéger ses utilisateurs (l’opposé de Discord où des comptes piratés restent actif et volent des données même après des signalement par le formulaire/les connexions illicites/les posts détaillant la situation et messages envoyés sur toutes les plates-formes du support)
Thumbs up. Merci pour cet avertissement.
Salut ! Par rapport à la raison pou les posts porno, tu penses que c’est une forme de troll ou une promotion de trucs payants pour se faire des sous ?
Et dans ton cas, tu soupçonnes quelles extensions ?
Si tu te delog pas, la 2FA est pas très utile (comme t’as pu le voir).
C’est pour ça que les banques et autres sites sérieux vous delog au bout de 10 minutes.
(Et je suis daccord avec toi, Reddit aurait dû lever un sourcil en voyant ta session depuis les US)
C’était pas la chaine de Wankil Studio qui s’était fait hack de la même manière ? C’est ouf de se dire qu’ils peuvent pirater sans avoir le mdp
Ouaip, c’est un truc qui se fait pas mal en ce moment. Des cookie lié au device sont en train d’être mis en place pour palier à ça (lentement mais sûrement…)
Franchement je conseil au gens d’avoir plusieurs profile pour leurs navigateur. Avec tous le temps : ublock and https everywhere. Ensuite tu fais un profile pour ce qui est du perso avec des compte mail, reddit, RS. Pas de merdouille dessus (pas d’extension fantaisiste etc) Un profile pour les truc de streaming Netflix canal+ YT, etc (ils rajoutes des plug-in lié au drm pas cool donc tu peux déjà considérer que ce profil est “compromis”) sur lui tu peux mettre tes extensions x y z. Ne jamais mettre à jour les extensions (oui oui vous avez bien entendu)
Bref plusieurs profile ca sert à ça. Un profile pour tout c’est la cata (vous pouvez même faire des raccourci avec une icône custom sur chaque profil pour accès rapide et même customiser le thème de chaque profile comme ça on se trompe pas, profile theme rouge = attention important, bleu=fait dla merde si tu veux osef)
Je n’utilise aucune extension
Récemment, un faux uBlock Origin est apparu sur le store Edge ou Chrome.
L’extension a déjà été signalée à l’équipe de l’extension légitime, mais Edge/Chrome n’ont pas fait grand chose, en tout cas hier.
Il y a eu tentative de connexion sur mon ancien compte. Ils m’ont demandé de refaire mon mot de passe. Le mail qui avait créé le compte était sur hotmail et a disparu. Pas possible de changer le mail. Donc compte bloqué.
J’avais pas mal de karma et surtout il était vieux donc je l’aimais bien (2009 je crois).
Je reste toujours triste…
Je me suis aussi fait poutré mon compte Reddit il y a un mois environ. Mêmes tripotée de posts de cochonneries.
J’ai mis ça sur le compte d’une fuite de mdp mais maintenant tu me mets le doute.
Je vais Check mes extensions.
Cette technique a été documentée par l’ANSSI dès 2022, j’en avais [un article sur mon blog](https://0x42.info/piratage-vol-de-cookies/). Sauf qu’à cette « époque » la technique de passer par les extensions n’était pas encore connue, les pirates se servaient surtout de sites web vérolés avec l’espoir que les visiteurs acceptent les cookies, mais aussi eux-mêmes vérolés pour aller fouiller dans les autres.
Selon ta description, c’est peut-être à la même époque qu’ils auraient mis en ligne leurs extensions (pour les plus malins et patients) et ont attendu d’avoir un paquet d’utilisateurs et bonnes notes pour déclencher le piratage à grande échelle.
Oui, c’est aussi comme ca qu’on peut pirater n’importe quel compte sur un site internet, c’est un vecteur d’attaque connu, que les entreprises traînent a endiguer.
On peut par exemple voler des cookies Google juste avec une pièce jointe dans Gmail, et Google n’as toujours pas corrigé ça.
Les extensions c’est bien mais pas suffisant. C’est extrêmement chiant mais une solution radicale serait d’activer la suppression automatique des cookies a la fermeture de son navigateur, il me semble que la plupart l’ont.
Tu soupçonne des extensions en particulier ?
Plus largement, quelles sont les extensions soupçonnées ?
Merci 🙏🙏🙏🙏🙏
Il y a aussi le cas d’extensions populaires et sérieuses qui finissent par être revendues car leur mainteneur veut passer à autre chose tout en palpant un peu et ceux qui mettent le pognon le font rarement par altruisme. Ne pas hésiter à suivre le développement des extensions via les dépôts github ou les blogs/forums
J’ai zéro extensions pour cette raison sur mon browser “important”. L’autre browser est lancé avec runas.. avec un autre compte qui n’a que le droit d’écrire sur un folder et de lire les folders systems.
Quand tu mets à jour l’extension, elle va demander de nouvelles permissions et ça va te demander d’accepter, non, j’imagine ? C’est quelle permission qui permet d’avoir accès aux cookies, et est ce qu’il est possible de dire de ne jamais autoriser ça ?
Ah oui c’est chaud à ce niveau. Ce que je comprends pas par contre c’est d’arriver a un niveau hyper élevé de piratage avec des accès du coup à des centaines de compte et possiblement du coup des CB enregistrés comme Amazon comme tu cites. Pour finalement poster des redirections porn que ton reddit il y a quelque chose qui cloche …. C’est un peu comme si le mec il arrive a pénétrer les coffres de la banque de France avec tous les lingots et qu’il se fait choper en train de tirer la chaise du bureau.
Merci
Je viens de clean mes extensions merci pour l’info et le partage des liens dans ton message
Bonne soirée
Si je ne dis pas de bêtises, c’est comme ça que Linus Tech Tips et bien d’autres se retrouvent avec leur chaine Youtube qui font de live de cryptos avec Elon Musk…
OP, ta communication est claire et précise. C’est ce type de communication qui se fait dans les milieux pro suite à un incident de sécurité.
Je te dis bravo non pas pour ce que tu as vécu mais ce que tu vas permettre aux autres d’éviter.
Je préciserai quelque chose, ayant moi même travaillé dans le milieux des web extensions: si le navigateur est une des choses les mieux [testées au monde](https://web-platform-tests.org/) il n’en est rien des extensions. Presumez le pire et considérez la réputation du fabricant de l’extension.
Si une extension se met à demander des permissions additionnelles, refusez systématiquement sauf si vous êtes convaincu qu’elle en a besoin.
>Aujourd’hui encore, 5 extensions avec 4 millions d’utilisateurs sont encore actives sur le Store
Euh d’accord on parle de quelles extensions? Je comprends pas comment tu peux dire 5 extensions mais sans connaître lesquelles…
Merci d’avoir pris le temps de poster c’est intéressant
Les méthodes utiliser pour contourner la 2fa sont les stealers pour faire court il récupère chaque session et cookies avec historique et mdp tu as du cliquer sur un lien ou télécharger un fichier. Seconde méthode le phishing et de l’ingénierie social tous simplement