Исходный код и внутренние данные американского издания The New York Times недавно были слиты на имиджборд 4chan после кражи из GitHub-репозиториев компании в январе 2024 года.
Утечку данных впервые заметилакоманда VX-Underground. В прошлый четверг, шестого июня, на анонимном форуме был опубликован торрент с архивом объёмом 273 ГБ, содержащим украденные данные.
“Практически весь исходный код компании The New York Times, 270 ГБ” – гласит сообщение на форуме. “В архиве около 5000 репозиториев, из которых менее 30 дополнительно зашифрованы, всего 3,6 миллиона файлов в несжатом виде”. Дополнительно злоумышленники предоставили текстовый файл с полным списком из 6223 папок, украденных из репозитория GitHub компании.
Содержимое папок свидетельствует о краже широкого спектра информации, включая документацию по IT, инструменты инфраструктуры и исходный код, в том числе популярной игры Wordle. Файл “readme” в архиве утверждает, что злоумышленники использовали открытый GitHub-токен для доступа к репозиториям компании и кражи данных.
Само издание заявило, что утечка произошла в январе 2024 года после того, как учётные данные для облачной платформы стороннего кода были случайно обнародованы. Вскоре стало известно, что это была платформа GitHub.
“Событие, связанное со вчерашней утечкой, произошло в январе 2024 года, когда учётные данные для облачной платформы стороннего кода были случайно обнародованы. Проблема была быстро выявлена, и мы приняли соответствующие меры в то время. Нет никаких признаков несанкционированного доступа к системам, принадлежащим Times, или влияния на нашу работу в связи с этим событием. Наши меры безопасности включают непрерывный мониторинг на наличие аномальной активности”, – сообщили представители издания.
Утечка данных The New York Times стала второй, опубликованной на 4chan на этой неделе. Первой была утечка 415 МБ украденных внутренних документов для игры Club Penguin. Как стало известно позже, утечка данных Club Penguin была частью более значительного нарушения сервера Confluence компании Disney, где злоумышленники украли 2,5 ГБ внутренних корпоративных данных.
Доподлинно неизвестно, стоит ли за обоими взломами один человек, а также почему для публикации данных был выбран именно имиджборд 4chan.