专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

纽约时报数字化运营源码等270G内部敏感数据泄露！祸起GitHub令牌！

网空闲话plus · 公众号 · · 2024-06-11 06:37

正文

2024年6月7日，有报道称一名4chan用户泄露了《纽约时报》的270GB数据，包括该报数字化运营的源代码。泄露的数据涉及超过3600000个文件，且大部分源代码存储库未加密。最初通过torrent下载时出现问题，但随后泄露者提供了新的种子链接，将文件分开，便于下载和访问。

泄露内容包括游戏Wordle的原始源代码、1500名纽约时报教育网站用户的WordPress数据库（含姓名、电子邮件和散列密码）、Slack频道的内部通信，以及公开的身份验证方法，包括认证URL、密码、密钥和API令牌。尽管许多保护良好，但部分秘密需要立即关注。

此次泄露主要影响《纽约时报》的IT/基础设施/网站部门，而非新闻采编部门。《纽约时报》在声明中表示，2024年1月其第三方基于云的代码平台GitHub的凭证被泄露，但无证据显示系统遭未授权访问或运营受影响，将持续监控异常活动。

值得注意的是，尽管泄露主要涉及技术层面，但《纽约时报》可能需要考虑是否需要为会员重置密码，以确保安全。此次事件凸显了即使是大型媒体公司，其技术部门的安全性同样至关重要，需要加强保护措施。

《纽约时报》已证实

《纽约时报》负责外部沟通、新闻编辑室和观点的总经理查理·施塔特兰德 (Charlie Stadtlander)表示：“最近在网上发布《纽约时报》信息的相关事件发生在2024年1月，当时一个基于云的第三方代码平台的凭证被无意中泄露。我们很快就发现了这个问题，并立即采取了适当的应对措施。没有迹象表明《纽约时报》拥有的系统遭到未经授权的访问，也没有迹象表明我们的运营受到与此事件相关的影响。我们的安全措施包括持续监控异常活动。”

而据4chan的这名泄露者声称，他获得了《纽约时报》270GB的内部数据，据称其中包括热门游戏Wordle及其他业务部分的源代码。这位匿名的4chan用户声称获得了5,000个GitHub存储库的访问权限，其中大部分未加密，共包含360万个文件，包括“基本上属于纽约时报公司的所有源代码”。

尽管不能全信网络犯罪分子的此类说法。但至少有一位研究人员亚历克斯·伊万诺夫斯(Alex Ivanovs)表示，他已验证部分数据是合法的，包括Wordle的源代码；一个包含1,500名纽约时报教育网站用户的WordPress数据库，其中包含姓名、电子邮件地址和哈希密码；内部Slack通信；以及身份验证详细信息，例如“URL 及其各自的口令、密钥和API令牌。……许多此类秘密需要立即引起注意。”

据证实，早在2024年1月份就有人访问过数据，但没有核实事件的具体细节。

源代码泄露影响深远

如果数据宝库确实像声称的那样庞大，那么其对《纽约时报》本身以及订阅者的影响都将十分巨大。

KnowBe4首席安全意识倡导者Javvad Malik在一封电子邮件声明中指出：“源代码的本质意味着恶意行为者可以检查其中是否存在漏洞，以利用这些漏洞进行网络攻击。此外，只有一小部分存储库被加密的说法凸显了数据保护策略中的潜在漏洞。”

Synopsys首席安全顾问Thomas Richards在一封电子邮件中补充道，源代码的泄露还可能让网络犯罪分子篡改应用程序、游戏和内部基础设施，以用于各种恶意攻击。

“纽约时报安全团队应该警惕的是，有人拥有特权访问其网络，甚至访问源代码，”他说。“如果他们只是为了查看代码而进入网络，他们也可以篡改代码以引入漏洞或后门，从而进一步入侵。纽约时报应该彻底检查其所有源代码，以确保其未被篡改或未经授权的更改。”

即使受影响的数据影响没有很多人担心的那么严重，但这次事件与最近曝光的Ticketmaster数据泄露事件一样，凸显了第三方云资产的安全问题。

祸起 GitHub令牌

据Bleeping Computer报道，“档案中的一份‘自述’文件指出，威胁行为者使用暴露的GitHub令牌访问该公司的存储库并窃取数据”。

而泄露者声称其获得了5,000个GitHub存储库的访问权限，这些存储库大部分没有进行加密。

《纽约时报》发言人证实，涉及此次泄密的第三方代码平台是GitHub。并称其

纽约时报数字化运营源码等270G内部敏感数据泄露！祸起GitHub令牌！

正文

请到「今天看啥」查看全文