Pod koniec zeszłego tygodnia grupa nazywająca się „NullBulge” opublikowała zbiór danych o wielkości 1,1 terabajta, który według niej jest zrzutem z wewnętrznego archiwum Disneya na platformie Slack. Dane rzekomo obejmują każdą wiadomość i plik z prawie 10 000 kanałów, w tym niepublikowane projekty, kod, obrazy, dane logowania oraz linki do wewnętrznych stron internetowych i interfejsów API.
Hakerzy twierdzą, że uzyskali dostęp do danych od osoby znającej Disneya i podali rzekomego współpracownika. Osoba o tym nazwisku, która jako swojego obecnego pracodawcę podaje Disneya, nie odpowiedziała na prośbę WIRED o komentarz. Disney nie potwierdził naruszenia ani nie wysłał wielu próśb o komentarz na temat legalności skradzionych danych. Rzecznik Disneya powiedział „Wall Street Journal”. że firma „bada tę sprawę”.
Dane, które prawdopodobnie zostały po raz pierwszy opublikowane w czwartek, zostały opublikowane na BreachForums, a następnie usunięte, ale nadal są dostępne na stronach lustrzanych.
Roei Sherman, dyrektor ds. technicznych w Mitiga Security, mówi, że nie jest zaskoczony, że gigant taki jak Disney mógł dokonać naruszenia na taką skalę i znaczenie. „Firmy cały czas padają ofiarą naruszeń, zwłaszcza kradzieży danych z chmury i platform oprogramowania jako usługi” – mówi. „Jest po prostu łatwiejszy dla atakujących i zapewnia większe nagrody”.
Sherman, który dokonał przeglądu danych zawartych w wycieku, dodał, że „wszystko wygląda na wiarygodne. Wiele adresów URL, rozmów pracowników, niektóre referencje i inna treść.”
Strona NullBulge podaje, że jest to „grupa haktywistów chroniąca prawa artystów i zapewniająca godziwe wynagrodzenie za ich pracę”. Grupa twierdzi, że hakuje tylko cele, które naruszają jeden z trzech „grzechów”. Po pierwsze: „Nie tolerujemy żadnej formy promowania kryptowalut lub produktów/usług z nimi związanych”. Po drugie: „Uważamy, że dzieła sztuki generowane przez sztuczną inteligencję szkodzą branży kreatywnej i należy je zniechęcać”. I po trzecie: „Wszelkie kradzieże z Patreonów, innych wspierających platform artystów lub artystów w ogóle”.
„Ściana wiedzy” grupy, na której znajdują się zrzuty danych, podsumowuje filozofię: „Czy jest lepszy sposób na ukaranie kogoś niż wpakowanie go w kłopoty, co?” Wcześniej grupa zaatakowała indyjskiego twórcę treści „Chief Shifter” karą „First Shaming”. Następnie w maju NullBulge opublikował „Second Punch” i drażnił się z naruszeniem zasad Disneya. „Oto jeden, o którym nigdy nie myślałem, że zdobędę go tak szybko… Disney. Tak, to Disney” – napisał NullBuldge, sugerując, że grupa może składać się z jednej osoby. „Atak dopiero się rozpoczął, ale mamy niezłe gówno. Aby pokazać, że mówimy poważnie, oto 2 pliki ze środka”.
Oprócz rzekomych danych Slack, NullBulge opublikowało również prawdopodobnie szczegółowe informacje na temat osoby, która najwyraźniej zapewniała dostęp i dane osobom mającym dostęp do informacji poufnych. Wyciek obejmuje dokumentację medyczną i inne dane osobowe, a także rzekomą zawartość menedżera haseł 1Password rzekomego pracownika Disneya. NullBulge najwyraźniej dokuczał tej osobie w odwecie za odcięcie komunikacji i dostępu.
Badacze bezpieczeństwa od dawna ostrzegają, że korporacyjne konta Slack są skarbnicą dla atakujących w przypadku ich naruszenia. Ta popularna platforma do komunikacji zespołowej jest własnością Salesforce i jest używana przez wiele znanych organizacji, w tym IBM, bank Capital One, Uber i rywala Disneya Paramount.
„Disney będzie teraz prawdopodobnie znacznie częściej celem oportunistycznych aktorów zagrażających” – ostrzega Sherman.
