En un incidente significativo de seguridad, el código fuente interno y otros datos del New York Times fueron filtrados en el foro 4chan. Este hecho se produjo tras un robo de información desde los repositorios de GitHub de la empresa en enero de 2024, según confirmó el propio New York Times a BleepingComputer.
El pasado jueves, un usuario anónimo publicó en 4chan un torrent con un archivo de 273GB que contenía los datos robados. Esta filtración fue inicialmente detectada por VX-Underground. “Básicamente, todo el código fuente perteneciente a The New York Times Company, 270GB”, rezaba el post en 4chan.
Según el post en el foro, el archivo contiene alrededor de 5,000 repositorios y un total de 3.6 millones de archivos, con menos de 30 repositorios adicionalmente cifrados. El archivo no comprimido se publicó en formato tar.
Aunque BleepingComputer no descargó el archivo completo, el actor de la amenaza compartió un archivo de texto que contiene una lista completa de las 6,223 carpetas robadas del repositorio de GitHub de la empresa. Los nombres de las carpetas indican que se robó una amplia variedad de información, incluida documentación de TI, herramientas de infraestructura y código fuente, presuntamente incluido el del juego viral Wordle.
Un archivo ‘readme’ en el archivo filtrado indica que el actor de la amenaza utilizó un token de GitHub expuesto para acceder a los repositorios de la empresa y robar los datos.
En un comunicado a BleepingComputer, el New York Times confirmó que la brecha ocurrió en enero de 2024 después de que se expusieran credenciales de una plataforma de código en la nube de terceros. Un correo electrónico posterior confirmó que esta plataforma de código era GitHub.
“El evento subyacente relacionado con la publicación de ayer ocurrió en enero de 2024 cuando una credencial para una plataforma de código en la nube de terceros se hizo disponible de manera inadvertida. El problema se identificó rápidamente y tomamos las medidas apropiadas en respuesta en ese momento. No hay indicación de acceso no autorizado a los sistemas propiedad del Times ni impacto en nuestras operaciones relacionado con este evento. Nuestras medidas de seguridad incluyen monitoreo continuo para detectar actividad anómala”, declaró el New York Times.
La empresa añadió que la brecha en su cuenta de GitHub no afectó sus sistemas corporativos internos ni tuvo impacto en sus operaciones.
Esta filtración del New York Times es la segunda publicada en 4chan esta semana, siendo la primera una filtración de 415MB de documentos internos robados del juego Club Penguin de Disney. Fuentes informaron exclusivamente a BleepingComputer que la filtración de Club Penguin formaba parte de una brecha mayor en el servidor Confluence de Disney, donde los actores de la amenaza robaron 2.5 GB de datos corporativos internos.
No se sabe si fue la misma persona quien llevó a cabo las brechas del New York Times y Disney.
fuente: Bleeping computer