Οι
New York Times
ειδοποίησαν έναν άγνωστο αριθμό συνεργατών ότι ορισμένες από τις ευαίσθητες προσωπικές τους πληροφορίες κλάπηκαν και διέρρευσαν μετά την παραβίαση των αποθετηρίων
GitHub
τον Ιανουάριο του 2024.
Όπως είπαν οι Times στο BleepingComputer την περασμένη εβδομάδα, οι επιτιθέμενοι χρησιμοποίησαν εκτεθειμένα διαπιστευτήρια για να χακάρουν τα αποθετήρια GitHub της εφημερίδας. Ωστόσο, η παραβίαση δεν επηρέασε τα εσωτερικά εταιρικά συστήματα ή τις λειτουργίες της εφημερίδας.
Οι πληροφορίες που κλάπηκαν κατά τη διάρκεια του περιστατικού περιλαμβάνουν ονόματα και επώνυμα, καθώς και διάφορους συνδυασμούς αριθμών τηλεφώνου, διευθύνσεων email, ταχυδρομικών διευθύνσεων, εθνικότητας, βιογραφικού, διευθύνσεων URL ιστότοπου και ονομάτων χρηστών μέσων κοινωνικής δικτύωσης επηρεαζόμενων ατόμων.
Επιπλέον, τα παραβιασμένα αποθετήρια περιελάμβαναν επίσης πληροφορίες σχετικές με εργασίες, όπως πιστοποιήσεις καταδύσεων και drone ή πρόσβαση σε εξειδικευμένο εξοπλισμό.
«Οι New York Times επικοινώνησαν πρόσφατα με μερικούς από τους συνεργάτες μας σχετικά με ένα περιστατικό που είχε ως αποτέλεσμα την αποκάλυψη ορισμένων προσωπικών τους στοιχείων», δήλωσε εκπρόσωπος των Times στο BleepingComputer.
“Στείλαμε αυτό το σημείωμα σε ανεξάρτητους οπτικούς συνεργάτες που έχουν κάνει δουλειά για τους Times τα τελευταία χρόνια. Δεν έχουμε ενδείξεις ότι η έκθεση δεδομένων επεκτείνεται στο προσωπικό της αίθουσας σύνταξης πλήρους απασχόλησης ή σε άλλους συνεργάτες.”
273 GB δεδομένων κλάπηκαν σε hack GitHub repo
Όπως ανέφερε το BleepingComputer το Σαββατοκύριακο, ένα αρχείο torrent 273 GB που περιείχε κλεμμένα δεδομένα των New York Times διέρρευσε στον πίνακα μηνυμάτων 4chan την Πέμπτη.
“Βασικά όλος ο πηγαίος κώδικας που ανήκει στην εταιρεία The New York Times, 270 GB”, ανέφερε η ανάρτηση στο φόρουμ του 4chan. “Υπάρχουν περίπου 5 χιλιάδες repos (από αυτά λιγότερα από 30 είναι επιπλέον κρυπτογραφημένα νομίζω), 3,6 εκατομμύρια αρχεία συνολικά, ασυμπίεστα πίσσα.”
“Γύρω στις 6 Ιουνίου 2024, μια ανάρτηση σε άλλο ιστότοπο τρίτου μέρους έκανε αυτά τα δεδομένα διαθέσιμα δημόσια, συμπεριλαμβανομένου ενός αρχείου που περιείχε ορισμένες από τις προσωπικές σας πληροφορίες”, επιβεβαίωσαν οι Times στο
επιστολές ειδοποίησης παραβίασης δεδομένων που αποστέλλονται στους επηρεαζόμενους συνεισφέροντες
.
Τα ονόματα των φακέλων υποδεικνύουν ότι έχει κλαπεί μια μεγάλη ποικιλία πληροφοριών, συμπεριλαμβανομένης της τεκμηρίωσης πληροφορικής, των εργαλείων υποδομής και του πηγαίο κώδικα, που φέρεται να περιλαμβάνει το ιογενές παιχνίδι Wordle.
Ένα αρχείο «readme» στο αρχείο αναφέρει ότι ο παράγοντας απειλής χρησιμοποίησε ένα εκτεθειμένο διακριτικό GitHub για να αποκτήσει πρόσβαση στα αποθετήρια της εταιρείας και να κλέψει τα δεδομένα.
ΔΙΑΡΡΟΗ ΚΛΕΜΜΕΝΩΝ ΔΕΔΟΜΕΝΩΝ NEW YORK TIMES ΣΤΟ 4CHAN (BLEEPINGCOMPUTER)
Οι Times συμβουλεύουν όποιον επηρεάζεται από αυτήν την παραβίαση δεδομένων να είναι προσεκτικός με απροσδόκητα email, τηλεφωνήματα ή μηνύματα που ζητούν προσωπικά στοιχεία όπως ονόματα χρήστη, κωδικούς πρόσβασης και
ημερομηνία
γέννησης, τα οποία θα μπορούσαν να χρησιμοποιηθούν για να αποκτήσουν πρόσβαση στους λογαριασμούς τους χωρίς άδεια.
Η εφημερίδα τους προειδοποίησε επίσης να βεβαιωθούν ότι οι προσωπικοί τους λογαριασμοί, συμπεριλαμβανομένων των λογαριασμών email και μέσων κοινωνικής δικτύωσης, διαθέτουν ισχυρούς κωδικούς πρόσβασης και έλεγχο ταυτότητας δύο παραγόντων για τον αποκλεισμό μη εξουσιοδοτημένων προσπαθειών πρόσβασης.
VIA:
bleepingcomputer.com
0