Le code source interne et les données appartenant au New York Times ont été divulgués sur le babillard 4chan après avoir été volés dans les référentiels GitHub de l’entreprise en janvier 2024, a confirmé le Times à Breachtrace.

Comme vu pour la première fois par VX-Underground, les données internes ont été divulguées jeudi par un utilisateur anonyme qui a posté un torrent sur une archive de 273 Go contenant les données volées.

« Fondamentalement, tout le code source appartenant à la société du New York Times, 270 Go », lit-on sur le forum 4chan.

« Il y a environ 5 mille dépôts (dont moins de 30 sont cryptés en plus je pense), 3,6 millions de fichiers au total, tar non compressé. »

Fuite du code source du New York Times sur 4chan

Bien que Breachtrace n’ait pas téléchargé l’archive, l’auteur de la menace a partagé un fichier texte contenant une liste complète des 6 223 dossiers volés dans le référentiel GitHub de l’entreprise.

Les noms des dossiers indiquent qu’une grande variété d’informations ont été volées, y compris de la documentation informatique, des outils d’infrastructure et du code source, y compris prétendument le jeu de mots viral.

Un fichier « lisez-moi » dans l’archive indique que l’auteur de la menace a utilisé un jeton GitHub exposé pour accéder aux référentiels de l’entreprise et voler les données.

Dans une déclaration à Breachtrace, Le Times a déclaré que la violation s’était produite en janvier 2024 après que des informations d’identification pour une plate-forme de code tierce basée sur le cloud aient été exposées. Un e-mail ultérieur a confirmé que cette plate-forme de code était GitHub.

« L’événement sous-jacent lié à la publication d’hier s’est produit en janvier 2024 lorsqu’un identifiant vers une plate-forme de code tierce basée sur le cloud a été mis à disposition par inadvertance. Le problème a été rapidement identifié et nous avons pris les mesures appropriées pour y répondre à l’époque. Il n’y a aucune indication d’accès non autorisé aux systèmes appartenant à Times ni d’impact sur nos opérations liées à cet événement. Nos mesures de sécurité incluent une surveillance continue des activités anormales. »

❖ Le Journal de Montréal
La société a déclaré que la violation de son compte GitHub n’avait pas affecté ses systèmes internes d’entreprise et n’avait eu aucun impact sur ses opérations.

La fuite du Times est la deuxième publiée sur 4chan cette semaine, la première étant une fuite de 415 Mo de documents internes volés pour le jeu Club Penguin de Disney.

Des sources ont exclusivement déclaré à Breachtrace que la fuite de Club Penguin faisait partie d’une violation plus importante du serveur Confluence de Disney, où les acteurs de la menace ont volé 2,5 Go de données internes de l’entreprise.

On ne sait pas si c’est la même personne qui a mené les violations du New York Times et de Disney.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *