Dans un incident de sécurité significatif, le code source interne et d’autres données du New York Times ont été divulgués sur le forum 4chan. Ce fait s’est produit suite à un vol d’informations depuis les dépôts GitHub de l’entreprise en janvier 2024, comme l’a confirmé le New York Times lui-même.
Jeudi dernier, un utilisateur anonyme a posté sur 4chan un torrent avec un fichier de 273 Go contenant les données dérobées. Cette fuite a été initialement détectée par VX-Underground. « Essentiellement, tout le code source appartenant à The New York Times Company, 270 Go », indiquait le post sur 4chan.
Selon le post du forum, le fichier contient environ 5 000 dépôts et un total de 3,6 millions de fichiers, avec moins de 30 dépôts en plus chiffrés. Le fichier décompressé a été rendu public au format tar.
Détails du Vol et de la Fuite
L’auteur de la menace a partagé un fichier texte contenant une liste complète des 6 223 dossiers volés du dépôt GitHub de l’entreprise. Les noms des dossiers indiquent qu’une grande variété d’informations a été dérobée, y compris de la documentation informatique, des outils d’infrastructure et du code source, présumément y compris celui du jeu viral Wordle.
Un fichier ‘readme’ dans le fichier divulgué indique que l’auteur de la menace a utilisé un jeton GitHub exposé pour accéder aux dépôts de l’entreprise et voler les données.
Dans une déclaration, le New York Times a confirmé que la violation avait eu lieu en janvier 2024 après que les identifiants d’une plateforme de code dans le cloud appartenant à un tiers aient été exposés par inadvertance. Un courriel ultérieur a confirmé que cette plateforme de code était GitHub.
« L’événement sous-jacent lié à la publication d’hier a eu lieu en janvier 2024 lorsqu’un identifiant pour une plateforme de code dans le cloud appartenant à un tiers a été disponible de manière involontaire. Le problème a été rapidement identifié et nous avons pris les mesures appropriées en réponse à ce moment-là. Il n’y a aucune indication d’accès non autorisé aux systèmes appartenant au Times ni d’impact sur nos opérations lié à cet événement. Nos mesures de sécurité comprennent une surveillance continue pour détecter toute activité anormale », a déclaré le New York Times.
L’entreprise a ajouté que la violation de son compte GitHub n’avait pas affecté ses systèmes corporatifs internes ni eu d’impact sur ses opérations.
Contexte et Répercussions
Cet incident souligne la vulnérabilité croissante des grandes entreprises face aux cyberattaques ciblant leurs plateformes de développement logiciel. Les dépôts de code, comme ceux trouvés sur GitHub, sont des cibles attrayantes pour les cybercriminels en raison des informations précieuses qu’ils peuvent contenir, y compris le code source propriétaire, la documentation interne et les outils d’infrastructure.
La fuite du New York Times est la deuxième publiée sur 4chan cette semaine, la première étant une fuite de 415 Mo de documents internes volés du jeu Club Penguin de Disney. Des sources ont rapporté que la fuite de Club Penguin faisait partie d’une brèche plus importante sur le serveur Confluence de Disney, où les auteurs de la menace ont volé 2,5 Go de données corporatives internes.
On ne sait pas si c’est la même personne qui a réalisé les vols du New York Times et de Disney.
Implications pour la Cybersécurité
Des incidents comme ceux-ci mettent en évidence l’importance de la sécurité sur les plateformes de développement logiciel. Les identifiants exposés peuvent entraîner des fuites massives de données qui compromettent non seulement la propriété intellectuelle d’une entreprise, mais aussi les informations sensibles et les opérations internes.
Les entreprises doivent prendre des mesures proactives pour protéger leurs dépôts de code, y compris la mise en œuvre de l’authentification multi-facteurs (MFA), la rotation régulière des identifiants et la surveillance continue de toute activité anormale. De plus, la formation et la sensibilisation des employés sur les meilleures pratiques de sécurité peuvent aider à prévenir les incidents de sécurité.
En résumé, le vol et la fuite du code source du New York Times servent de rappel percutant des risques cybernétiques auxquels sont confrontées les organisations de nos jours et de la nécessité de renforcer les défenses de sécurité à tous les niveles.