Un Californien qui a utilisé l’alias « NullBulge » a plaidé coupable d’avoir accédé illégalement aux chaînes internes de Disney Slack et d’avoir volé plus de 1,1 téraoctets de données internes de l’entreprise.
Selon le département américain de la Justice, un jeune homme de 25 ans du nom de Ryan Kramer a créé un programme malveillant au début de 2024 qui a été présenté comme un outil de génération d’images d’IA sur GitHub et d’autres plateformes.
Cependant, le DOJ affirme que ce programme était en fait un logiciel malveillant qui permettait à Kramer d’accéder à l’ordinateur de ceux qui l’avaient installé pour voler des données et des mots de passe de l’appareil.
Selon le Wall Street Journal, l’une des personnes qui ont téléchargé le programme était un employé de Disney, Matthew Van Andel, qui l’a exécuté sur son ordinateur. Cela a donné à Kramer l’accès à son appareil, y compris les mots de passe stockés dans son gestionnaire de mots de passe 1Password.
En utilisant les identifiants volés de Van Andel, Kramer a eu accès aux chaînes Slack de Disney, où il a téléchargé 1,1 To de données d’entreprise.
« En accédant au compte Disney Slack de M. V., le défendeur a eu accès à des chaînes Disney Slack non publiques, et vers mai 2024, le défendeur a téléchargé environ 1,1 téraoctet de données confidentielles à partir de milliers de chaînes Disney Slack », lit-on dans un accord de plaidoyer vu par Breachtrace.
Le ministère de la Justice a déclaré que Kramer avait ensuite contacté Van Andel, se faisant passer pour un groupe hacktiviste russe appelé « NullBulge », avertissant que ses informations personnelles et les données Slack volées par Disney seraient publiées s’il ne coopérait pas.
Après n’avoir reçu aucune réponse, NullBulge a publié un message sur le forum de piratage BreachForums le 12 juillet 2024, intitulé « DISNEY INTERNAL SLACK », où il a affirmé avoir violé Disney et divulgué les 1,1 To de données volées, y compris les informations personnelles de Van Andel.
« 1,1 TiO de données. près de 10 000 canaux, tous les messages et fichiers possibles, ont été vidés. Projets inédits, images brutes et code, quelques connexions, liens vers des api/ pages Web internes, et plus encore! Amusez-vous à passer au crible, il y en a beaucoup là-bas », lit-on sur le forum.
Kramer a plaidé coupable à un chef d’avoir accédé à un ordinateur et obtenu des informations et à un chef d’avoir menacé d’endommager un ordinateur protégé. Chaque accusation est passible d’une peine maximale légale de cinq ans de prison fédérale.
Il a également confirmé que deux personnes supplémentaires avaient téléchargé son logiciel malveillant, lui permettant d’accéder à leurs ordinateurs. Le FBI enquête actuellement sur ces personnes supplémentaires.
Sa comparution initiale devant le tribunal fédéral de Los Angeles devrait avoir lieu dans les prochaines semaines.