Sommario
Il New York Times ha avvisato diversi giornalisti freelance che i loro dati potrebbero essere stati rubati in un recente attacco ai repository GitHub dell’azienda. La notizia è emersa quando un hacker ha pubblicato il codice sorgente appartenente alla New York Times Company su 4chan, una piattaforma di immagini anonima.
Dettagli dell’Attacco
L’incidente è venuto alla luce quando un utente anonimo ha pubblicato un torrent su 4chan contenente un archivio di 273GB con i dati rubati, descrivendolo come “praticamente tutto il codice sorgente appartenente alla New York Times Company“. L’archivio include circa 5.000 repository e 3,6 milioni di file, tra cui documentazione IT, strumenti infrastrutturali e codice sorgente, inclusi i piani del gioco virale Wordle.
Un file ‘readme’ nell’archivio ha rivelato che l’attaccante ha utilizzato un token GitHub esposto per accedere ai repository dell’azienda e rubare i dati. In una dichiarazione rilasciata a BleepingComputer, il New York Times ha confermato che l’evento ha avuto luogo a gennaio 2024 dopo che le credenziali per una piattaforma di codice basata su cloud sono state accidentalmente rese disponibili. L’azienda ha preso misure appropriate in risposta all’incidente e non ha rilevato accessi non autorizzati ai sistemi di proprietà del Times né impatti sulle sue operazioni.
Rischi di Phishing
I cybercriminali potrebbero utilizzare questi dati per condurre attacchi di phishing altamente dannosi. Ad esempio, il gruppo di hacker sponsorizzato dallo stato nordcoreano, Lazarus Group, è noto per aver creato false offerte di lavoro e distribuito infostealer mascherati da documenti di requisiti lavorativi. Uno di questi attacchi ha portato al furto di oltre mezzo miliardo di dollari da una compagnia di criptovalute.
I giornalisti freelance, sempre alla ricerca di nuove opportunità di lavoro, potrebbero essere particolarmente vulnerabili a tali attacchi, soprattutto se l’offerta di lavoro sembra provenire dal New York Times.
Misure di sicurezza
Il New York Times ha inviato comunicazioni ai collaboratori visivi freelance che hanno lavorato per il giornale negli ultimi anni, rassicurando che non ci sono indicazioni che l’esposizione dei dati abbia coinvolto il personale a tempo pieno o altri collaboratori. L’azienda continua a monitorare la situazione e a prendere misure per proteggere i dati personali dei suoi collaboratori.
Il New York Times affronta un grave problema di sicurezza con il furto di dati dai suoi repository GitHub, mettendo a rischio i dati personali dei giornalisti freelance. Gli attacchi di phishing rappresentano una minaccia concreta, specialmente per i freelance che potrebbero essere ingannati da false offerte di lavoro. L’azienda sta prendendo provvedimenti per informare e proteggere i suoi collaboratori.
