The Times, BleepingComputer’a, The New York Times’a ait dahili kaynak kodu ve verilerin Ocak 2024’te şirketin GitHub depolarından çalınmasının ardından 4chan mesaj panosuna sızdırıldığını doğruladı.
İlk kez VX-Underground tarafından görüldüğü gibi, dahili veriler Perşembe günü, çalınan verileri içeren 273 GB’lık bir arşive torrent gönderen anonim bir kullanıcı tarafından sızdırıldı.
4chan forum gönderisinde “Temelde tüm kaynak kodları The New York Times Company’ye ait, 270GB” yazıyor.
“Yaklaşık 5 bin depo var (bunlardan 30’dan azı ek olarak şifrelenmiş sanırım), toplam 3,6 milyon dosya, sıkıştırılmamış tar.”
Kaynak: BleepingComputer
BleepingComputer arşivi indirmezken tehdit aktörü, şirketin GitHub deposundan çalınan 6.223 klasörün tam listesini içeren bir metin dosyası paylaştı.
Klasör adları, aralarında viral Wordle oyununun da bulunduğu iddia edilen BT belgeleri, altyapı araçları ve kaynak kodu da dahil olmak üzere çok çeşitli bilgilerin çalındığını gösteriyor.
Arşivdeki bir ‘benioku’ dosyası, tehdit aktörünün şirketin depolarına erişmek ve verileri çalmak için açıkta kalan bir GitHub tokenını kullandığını belirtiyor.
The Times, BleepingComputer’a yaptığı açıklamada, ihlalin Ocak 2024’te bulut tabanlı bir üçüncü taraf kod platformunun kimlik bilgilerinin açığa çıkmasından sonra meydana geldiğini söyledi. Sonraki bir e-posta, bu kod platformunun GitHub olduğunu doğruladı.
“Dünkü gönderiyle ilgili temel olay, Ocak 2024’te, bulut tabanlı bir üçüncü taraf kod platformuna ait kimlik bilgilerinin yanlışlıkla kullanıma sunulmasıyla meydana geldi. Sorun hızlı bir şekilde tespit edildi ve o sırada buna yanıt olarak uygun önlemleri aldık. Herhangi bir gösterge yok. Times’a ait sistemlere yetkisiz erişim veya bu olayla ilgili operasyonlarımızın etkilenmesi konusunda güvenlik önlemlerimiz arasında anormal faaliyetlerin sürekli izlenmesi de yer alıyor.”
❖ New York Times
Şirket, GitHub hesabının ihlalinin dahili kurumsal sistemlerini etkilemediğini ve operasyonlarını etkilemediğini söyledi.
Times sızıntısı, bu hafta 4chan’de yayınlanan ikinci sızıntıdır; ilki, Disney’in Club Penguin oyununa ait 415 MB’lık çalıntı dahili belgenin sızıntısıdır.
Kaynaklar BleepingComputer’a özel olarak Club Penguin sızıntısının, tehdit aktörlerinin 2,5 GB dahili kurumsal veriyi çaldığı Disney’in Confluence sunucusuna yönelik daha önemli bir ihlalin parçası olduğunu söyledi.
New York Times ve Disney ihlallerini gerçekleştirenin aynı kişi olup olmadığı bilinmiyor.