Vodafone-databruddet vekker oppsikt etter at hackergruppen Lapsus$ angivelig lekket intern kildekode og GitHub-data knyttet til teleselskapet. Forskere som gjennomgikk arkivet opplyste at de eksponerte filene inneholder utviklingsressurser knyttet til Vodafones applikasjoner og testmiljøer.
Angriperne skal ha publisert dataene etter mislykkede utpressingsforsøk. Lapsus$ hevdet at Vodafone nektet å forhandle før lekkasjen dukket opp på nettet.
Forskere identifiserte kildekode og testfiler
Sikkerhetsforskere analyserte det lekkede arkivet og fant omtrent 7,1 GB med intern data. Filene skal inkludere kildekode knyttet til Vodafone OnePortal- og Cyberhub-prosjektene.
Arkivet ser også ut til å inneholde data fra testmiljøer, repository-strukturer og infrastruktureferanser. Forskere mener angriperne sannsynligvis fikk tilgang gjennom en kompromittert GitHub-konto koblet til Vodafones utviklingssystemer.
Funnene tyder på at angriperne rettet seg mot interne utviklingsmiljøer i stedet for kundevendte tjenester. Likevel kan eksponerte repository-data fortsatt skape store sikkerhetsrisikoer for store organisasjoner.
Hardkodede legitimasjonsopplysninger økte sikkerhetsrisikoen
Forskere oppdaget flere hardkodede PostgreSQL-legitimasjonsopplysninger direkte innebygd i den lekkede kildekoden. Sikkerhetseksperter anser hardkodede opplysninger som et alvorlig problem fordi angripere kan bruke dem til å få tilgang til backend-systemer uten ytterligere utnyttelse.
Det lekkede arkivet ser ikke ut til å inneholde kunders økonomiske data eller brukerkontoer. Cybersikkerhetseksperter advarte likevel om at eksponert intern kode fortsatt kan hjelpe angripere med å kartlegge infrastruktur og identifisere svakheter.
Trusselaktører bruker ofte lekkede utviklingsdata til å forberede fremtidige angrep, eskalere privilegier eller oppdage oversette sikkerhetshull i bedriftsmiljøer.
Lapsus$ fortsetter å angripe store selskaper
Lapsus$ ble kjent for å rette seg mot globale selskaper gjennom sosial manipulasjon i stedet for tradisjonelle ransomware-metoder. Gruppen fokuserer på å stjele sensitiv informasjon og true med offentlige lekkasjer i stedet for å kryptere systemer.
Forskere har tidligere koblet Lapsus$ til angrep mot Microsoft, Nvidia, Samsung, Ubisoft og Okta. Gruppen skal ifølge rapporter bruke phishingangrep, SIM-swapping, MFA fatigue-kampanjer og forsøk på å rekruttere innsiderkilder for å få tilgang.
Vodafone har også tidligere opplevd cybersikkerhetshendelser knyttet til gruppen. Tidligere påstander handlet om store mengder kildekode som angivelig ble stjålet fra Vodafones repositories.
Telekomselskaper forblir attraktive mål
Telekomleverandører fortsetter å være attraktive mål for cyberkriminelle grupper fordi de håndterer enorme infrastrukturnettverk, sensitive kundesystemer og store interne utviklingsmiljøer.
Angripere ser ofte telekomselskaper som verdifulle inngangspunkter for bredere spionasje, utpressing eller forsyningskjedeoperasjoner. Utviklingsrepositories kan bli spesielt farlige når organisasjoner ikke sikrer legitimasjonsopplysninger og intern tilgang godt nok.
Vodafone-databruddet fremhever også de økende risikoene knyttet til GitHub-miljøer og skybaserte utviklingsplattformer. Én kompromittert utviklerkonto kan potensielt eksponere store mengder sensitiv informasjon.
Konklusjon
Vodafone-databruddet viser hvordan eksponert kildekode og kompromittert repository-tilgang kan skape langsiktige sikkerhetsrisikoer for globale selskaper. Selv uten bekreftet eksponering av kundedata kan lekkede legitimasjonsopplysninger og interne utviklingsfiler gi verdifull etterretning til angripere.
Hendelsen understreker også den vedvarende trusselen fra Lapsus$, som fortsatt retter seg mot store organisasjoner gjennom sosial manipulasjon og legitimasjonsfokuserte angrep i stedet for tradisjonelle malware-kampanjer.
0 svar til “Vodafone-databrudd eksponerer interne GitHub-data”