Haker znany jako IntelBroker przyznał się do naruszenia bezpieczeństwa Hewlett Packard Enterprise (HPE) i ujawnienia wrażliwych danych, w tym kodu źródłowego, certyfikatów i informacji umożliwiających identyfikację, które są teraz dostępne w sprzedaży online. Zdarzenie to zostało ujawnione w rozmowie z Hackread.com i później ogłoszone na Breach Forums, forum o cyberprzestępczości administrowanym przez hakera.
IntelBroker twierdzi, że doszło do naruszenia HPE i ujawniono wrażliwe dane
Firma IntelBroker, wcześniej powiązana z licznymi głośnymi naruszeniami bezpieczeństwa danych, stwierdziła, że naruszenie wynikało z bezpośredniego ataku na infrastrukturę HPE, a nie z narażenia na szwank strony trzeciej, co jest powszechne w przypadku innych naruszeń. Według doniesień haker żąda płatności w kryptowalucie Monero (XML), aby zachować anonimowość.
Według IntelBrokera skradzione dane obejmują kod źródłowy, prywatne repozytoria GitHub, kompilacje Dockera, zarówno prywatne, jak i publiczne certyfikaty kryptograficzne, dane użytkowników związane ze starymi dostawami oraz dostęp do interfejsów API i WePay. Udostępniono drzewo danych i dwa wewnętrzne zrzuty ekranu, pokazujące coś, co wydaje się być środowiskiem programistycznym lub systemowym, zawierającym zarówno zasoby typu open source, jak i zasoby zastrzeżone.
Analiza drzewa danych przeprowadzona przez Hackread.com ujawniła odniesienia do kluczy prywatnych i certyfikatów, co sugeruje potencjalne narażenie wrażliwych materiałów kryptograficznych. Zidentyfikowano kod źródłowy produktów HPE, takich jak iLO i Zerto, co wskazuje na wycieki zastrzeżonych implementacji. Dalsza analiza ujawniła pliki powiązane z katalogami prywatnych repozytoriów, a także archiwa .tar wskazujące na zagrożone zasoby programistyczne.
Zrzuty ekranu umożliwiły wgląd w wewnętrzne systemy HPE, a jeden przedstawiał szczegóły usługi internetowej SignonService, w tym adresy punktów końcowych i łącza WSDL. Drugi zrzut ekranu ujawnił poufne szczegóły konfiguracji, ujawniając dane uwierzytelniające do integracji Salesforce i QID, a także wewnętrzne adresy URL, które mogą uwypuklić poważne luki w zabezpieczeniach infrastruktury HPE.
Naruszenie to stanowi nowy incydent dla HPE, które wcześniej spotkało się z incydentem związanym z cyberbezpieczeństwem w styczniu 2024 r., kiedy ujawniło SEC, że sponsorowani przez państwo rosyjscy hakerzy włamali się do jej serwerów, atakując skrzynki pocztowe pracowników pełniących krytyczne funkcje.
Broker Intel zostało powiązane z innymi znaczącymi naruszeniami, w tym ze zgłoszonym atakiem na firmę Cisco w październiku 2024 r., podczas którego skradziono terabajty danych z powodu źle skonfigurowanego publicznego zasobu DevHub. Haker twierdził również, że włamał się do Nokii i AMD, wskazując na wzór atakowania dużych firm w celu gromadzenia wrażliwych danych.
Autor wyróżnionego obrazu: HPE
