The New York Timesの内部ソースコード合計約270GB・ファイル360万個が流出

アメリカで発行されている日刊紙「The New York Times」の内部ソースコードがGitHubリポジトリから盗まれ、匿名掲示板の4chanに流出したことがわかりました。The New York Timesは事実を認め、適切な対策を講じたと伝えています。

New York Times source code stolen using exposed GitHub token
https://www.bleepingcomputer.com/news/security/new-york-times-source-code-stolen-using-exposed-github-token/

海外メディアのBleepingComputerが伝えたところによると、4chanで誰かがThe New York Timesのソースコードを漏洩(ろうえい)しており、漏洩者は「(紙面発行元の)ニューヨーク・タイムズ・カンパニーに属するすべてのソースコードが270GBある。約5000のリポジトリがあるが、そのうち暗号化されているのは30未満だと思う。ファイル数は合計360万だ」と書き込んでいるとのこと。

BleepingComputerがThe New York Timesに確認したところ、同紙は問題のソースコードが2024年1月にGitHubリポジトリから盗まれたものであることを認めました。

公開されたフォルダ名からは、ITドキュメント、インフラツール、ソースコードなどさまざまな情報が盗まれたことが類推できるとBleepingComputerは指摘。また、フォルダ内には「readme」ファイルがあり、漏洩者がGitHubの公開トークンを使用してリポジトリにアクセスし、データを盗んだなどと記載されているそうです。

The New York Timesは「問題の投稿に関連する出来事は、2024年1月にクラウドベースのサードパーティ・コードプラットフォームの認証情報が誤って公開されたことで発生しました。この問題はすぐに特定され、私たちはすぐに適切な対策を講じました。私たちが所有するシステムへの不正アクセスの兆候はなく、この事象に関連する業務への影響もありません。当社のセキュリティ対策には、異常なアクティビティに対する継続的な監視が含まれています」との声明を出しています。

The New York Timesのデータ漏洩と同じ週には、ディズニーのゲーム「Club Penguin」の415MB分の内部ドキュメントが4chanにリークされるという事件が起きていました。情報筋がBleepingComputerに語ったところによると、Club Penguinの漏洩はディズニーに対する攻撃の一部でしかなく、攻撃者はすでに2.5GBの企業内部データを盗んでいるとのことです。The New York Timesとディズニーの侵害を行ったのが同一人物かどうかは不明です。