Ο εσωτερικός πηγαίος κώδικας και τα data που ανήκουν στους New York Times διέρρευσαν στο φόρουμ 4chan, μετά την κλοπή από τα αποθετήρια GitHub της εταιρείας τον Ιανουάριο του 2024, όπως επιβεβαίωσαν οι Times.

See also: Οι νέες επιθέσεις Gitloker διαγράφουν τα repos του GitHub

Όπως είδαμε για πρώτη φορά από το VX-Underground, τα εσωτερικά δεδομένα διέρρευσαν την Πέμπτη από έναν ανώνυμο χρήστη που δημοσίευσε ένα torrent σε ένα αρχείο 273 GB που περιείχε τα κλεμμένα δεδομένα.

"Βασικά όλος ο πηγαίος κώδικας που ανήκει στην εταιρεία The New York Times, 270 GB», αναφέρει η ανάρτηση στο φόρουμ του 4chan.

Ο κακόβουλος χρήστης μοιράστηκε ένα αρχείο κειμένου που περιείχε μια πλήρη λίστα με τους 6.223 φακέλους που είχαν κλαπεί από το αποθετήριο GitHub των New York Times.

Τα ονόματα των φακέλων υποδεικνύουν ότι έχει κλαπεί μια μεγάλη ποικιλία πληροφοριών, συμπεριλαμβανομένης της τεκμηρίωσης πληροφορικής, των εργαλείων υποδομής και του πηγαίου κώδικα, που φέρεται να περιλαμβάνει το viral παιχνίδι Wordle.

See also: Το GitHub προειδοποιεί για ελάττωμα auth bypass SAML

Ένα αρχείο «readme», αναφέρει ότι ο κακόβουλος παράγοντας χρησιμοποίησε ένα εκτεθειμένο διακριτικό GitHub για να αποκτήσει Accessed at στα αποθετήρια της εταιρείας και να κλέψει τα data.

Σε μια δήλωση, οι Times ανέφεραν ότι η παραβίαση σημειώθηκε τον Ιανουάριο του 2024 μετά την αποκάλυψη των διαπιστευτηρίων για μια πλατφόρμα κώδικα τρίτων που βασίζεται σε cloud. Ένα επόμενο email επιβεβαίωσε ότι αυτή η πλατφόρμα κώδικα ήταν το GitHub. Οι New York Times είπαν ότι η παραβίαση του λογαριασμού τους στο GitHub, δεν επηρέασε τα εσωτερικά εταιρικά systems

και δεν είχε καμία επίδραση στις λειτουργίες τους.

Η διαρροή των Times είναι η δεύτερη που δημοσιεύτηκε στο 4chan αυτή την εβδομάδα, με την πρώτη να είναι μια διαρροή 415 MB κλεμμένων εσωτερικών εγγράφων για το παιχνίδι Disney’s Club Penguin.

Δεν είναι γνωστό αν ήταν το ίδιο άτομο που διεξήγαγε τις παραβιάσεις στο GitHub των New York Times και της Disney.

See also: Χάκερς εκμεταλλεύονται GitHub και FileZilla για να διαδώσουν Cocktail malware

Η κλοπή του πηγαίου κώδικα, όπως αυτή των New York Times από το αποθετήριο GitHub, είναι μια σοβαρή παραβίαση ασφαλείας που μπορεί να έχει σημαντικές επιπτώσεις για εταιρείες και προγραμματιστές. Όταν κλαπεί ο πηγαίος κώδικας, ευαίσθητες πληροφορίες, συμπεριλαμβανομένων ιδιόκτητων αλγορίθμων, επιχειρηματικής λογικής και αποκλειστικών τεχνικών μπορούν να εκτεθούν. Αυτή η Oversight, όχι μόνο υπονομεύει την ακεραιότητα και τη φήμη του επηρεαζόμενου οργανισμού, αλλά ενέχει επίσης κίνδυνο οικονομικής απώλειας και νομικές επιπλοκές. Η προστασία του πηγαίου κώδικα μέσω ισχυρών μέτρων ασφαλείας, όπως η κρυπτογράφηση, οι έλεγχοι πρόσβασης και οι τακτικοί έλεγχοι ασφαλείας, είναι ζωτικής σημασίας για την πρόληψη τέτοιων περιστατικών και τη διαφύλαξη της πνευματικής ιδιοκτησίας.

Source: bleepingcomputer