L’Apache Software Foundation conteste les allégations selon lesquelles son projet OpenOffice a subi une attaque par ransomware Akira, après que les auteurs de la menace ont affirmé avoir volé 23 Go de documents d’entreprise.
Apache OpenOffice est une suite bureautique gratuite et open source qui comprend des outils de traitement de texte, des feuilles de calcul, des présentations, des graphiques et des bases de données. Il est compatible avec les principaux formats de fichiers, tels que Word et Excel, et fonctionne sur plusieurs systèmes d’exploitation.
Le 30 octobre, le gang Akira Ransomware a affirmé avoir violé Apache OpenOffice et volé 23 Go de données, y compris des informations sur les employés et les finances, ainsi que des fichiers internes.
« Nous téléchargerons bientôt 23 Go de documents d’entreprise. Informations sur les employés (adresses, téléphones, date de naissance, permis de conduire, cartes de sécurité sociale, informations sur les cartes de crédit, etc.), informations financières, fichiers confidentiels internes, de nombreux rapports sur leurs problèmes avec l’application, etc. », lit-on dans une entrée pour Apache OpenOffice sur le site de fuite de données Akira.
Cependant, l’Apache Software Foundation n’a aucune idée de ce à quoi le gang de ransomwares fait référence, car il dit qu’il ne possède pas les types de données prétendument volés.
« L’Apache Software Foundation prend la sécurité des logiciels de nos projets très au sérieux, et nous enquêtons actuellement sur cette allégation. Aucune demande de rançon n’a été signalée à la Fondation ou au projet Apache OpenOffice pour le moment. »la Fondation Apache Software a déclaré à Breachtrace.
« Apache OpenOffice étant un projet de logiciel open source, aucun de nos contributeurs n’est un employé rémunéré pour le projet ou la fondation, nous ne possédons donc même pas l’ensemble de données décrit dans la revendication. »
« Par conséquent, nous ne pensons pas que cette affirmation vise l’infrastructure du projet ASF ou Apache OpenOffice elle-même. Et, comme OpenOffice est développé de manière ouverte et transparente sur nos listes de diffusion pour développeurs, toutes les préoccupations concernant les bogues et les demandes de fonctionnalités sont déjà publiques. »
Aujourd’hui, la Fondation a réaffirmé que son enquête n’avait trouvé aucune preuve d’une violation et qu’elle n’avait contacté ni les forces de l’ordre ni aucun expert en cybersécurité.
À l’heure actuelle, il n’y a aucune preuve que les systèmes d’Apache OpenOffice ou de l’Apache Software Foundation aient été compromis, et le gang Akira n’a divulgué aucune des données qu’ils prétendaient avoir volées.