
Le New York Times a informé un nombre non divulgué de contributeurs que certaines de leurs informations personnelles sensibles avaient été volées et divulguées après la violation de ses référentiels GitHub en janvier 2024.
Comme le Times l’a dit la semaine dernière, les attaquants ont utilisé des informations d’identification exposées pour pirater les dépôts GitHub du journal. Cependant, la violation n’a pas affecté les systèmes internes de l’entreprise ou les opérations du journal.
Les informations volées au cours de l’incident comprennent les prénoms et les noms de famille, ainsi que diverses combinaisons de numéros de téléphone, d’adresses électroniques, d’adresses postales, de nationalité, de biographie, d’URL de sites Web et de noms d’utilisateur de médias sociaux des personnes concernées.
De plus, les dépôts compromis comprenaient également des informations pertinentes pour les affectations, telles que les certifications de plongée et de drone ou l’accès à des équipements spécialisés.
« Le New York Times a récemment communiqué à certains de nos contributeurs au sujet d’un incident qui a entraîné la divulgation de certaines de leurs informations personnelles », a déclaré un porte-parole du Times .
« Nous avons envoyé cette note aux contributeurs visuels indépendants qui ont travaillé pour le Times ces dernières années. Nous n’avons aucune indication que l’exposition des données s’est étendue au personnel à temps plein de la salle de rédaction ou à d’autres contributeurs. »
273 Go de données volées dans le piratage du dépôt GitHub
Comme l’a rapporté Breachtrace ce week-end, un fichier torrent de 273 Go contenant les données volées du New York Times a été divulgué sur le babillard 4chan jeudi.
« Fondamentalement, tout le code source appartenant à la société du New York Times, 270 Go », a déclaré le message du forum 4chan. « Il y a environ 5 mille dépôts (dont moins de 30 sont cryptés en plus je pense), 3,6 millions de fichiers au total, tar non compressé. »
« Vers le 6 juin 2024, une publication sur un autre site tiers a rendu ces données accessibles au public, y compris un fichier contenant certaines de vos informations personnelles », a confirmé le Times dans des lettres de notification de violation de données envoyées aux contributeurs concernés.
Les noms des dossiers indiquent qu’une grande variété d’informations ont été volées, y compris de la documentation informatique, des outils d’infrastructure et du code source, y compris prétendument le jeu de mots viral.
Un fichier « lisez-moi » dans l’archive indique que l’auteur de la menace a utilisé un jeton GitHub exposé pour accéder aux référentiels de l’entreprise et voler les données.

Le Times conseille à toute personne touchée par cette violation de données de se méfier des courriels, appels téléphoniques ou messages inattendus demandant des informations personnelles telles que des noms d’utilisateur, des mots de passe et une date de naissance qui pourraient être utilisés pour accéder à leurs comptes sans autorisation.
Le journal les a également avertis de s’assurer que leurs comptes personnels, y compris les comptes de messagerie et de médias sociaux, disposent de mots de passe forts et d’une authentification à deux facteurs activée pour bloquer les tentatives d’accès non autorisées.