New York Times source code stolen using exposed GitHub token
2024/06/08 BleepingComputer — The New York Times 内部のソースコードとデータが、同社の GitHub リポジトリから盗まれたのは 2024年1月のことだが、それらが 4chan 掲示板に流出した。New York Times から盗まれた 273GB のデータ含むアーカイブが、匿名のユーザーにより投稿されたの 6月6日 (木) のことであり、最初に発見したのは VX-Underground だった。
この 4chanフォーラムへの投稿には、「基本的に、New York Times に帰属する、すべてのソースコード 270GB。約5,000のレポジトリが、そのうち暗号化されているのは、30以下だと思う。ファイル数は、合計で 360万個であり、形式は非圧縮の tar だ」と記されている。
Source: BleepingComputer
BleepingComputer では、そのアーカイブをダウンロードしていないが、New York Times の GitHub リポジトリから盗まれた、6,223個のフォルダの完全なリストを含むテキスト・ファイルが、脅威アクターから共有されている。
フォルダ名から推察すると、IT ドキュメント/インフラツール/ソースコードなどの、さまざまな情報が盗まれたことがわかる。
アーカイブ内の “readme” ファイルには、GitHub トークンを悪用する脅威アクターが、同社のリポジトリにアクセスし、データを盗んだと記されている。
BleepingComputer への声明の中で New York Times は、クラウドベースのサードパーティ・コード・プラットフォームの、認証情報が公開された後の 2024年1月に、この侵害が発生したと述べている。なお、その後の電子メールからの情報により、このコードプ・ラットフォームが GitHub であることが確認された。
New York Times は、「昨日の投稿について説明すると、2024年1月にクラウドベースのサードパーティ・コード・プラットフォームの認証情報が、誤って公開されたことがインシデントの発端となる。この問題はすぐに特定され、その時点で適切な対策が講じられた。当社が所有するシステムへの不正アクセスの兆候はなく、このインシデントに関連する業務への影響もない。当社のセキュリティ対策には、異常なアクティビティに対する継続的な監視が含まれている」と述べている。
同社によると、GitHub アカウントへの侵害は、社内システムには影響せず、業務への影響も生じなかったという。
今回の情報リークは、今週の 4chan で生じた2つ目のリークであり、最初のリークは、Disney から盗み出された、Club Penguin ゲームの内部文書 415MB である。情報筋によるとと、Club Penguin に関連する流出は Disney の Confluence サーバーに対するより重大な侵害の一部であり、脅威アクターは 2.5GBの企業内部データを盗んだという。
なお、New York Times と Disney の侵害において、脅威アクターの特定は行われていない。
New York Times が言うように、業務への影響が生じないとよいですね。なんで、GitHub トークンが盗まれてしまったのか、そのあたりが分かりませんが、なんとなくトークン窃取が流行ってしまいそうな気がします。よろしければ、GitHub で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.