Quelques jours seulement après que la police britannique a arrêté sept personnes pour des liens présumés avec le désormais tristement célèbre groupe de piratage et d’extorsion, Lapsus $ revendique sa dernière victime.
Lapsus$, dont les récentes victimes incluent Okta, Microsoft, Nvidia et Samsung, prétend maintenant avoir violé Globant, une société de conseil en développement de logiciels basée au Luxembourg. Après s’être déclaré « de retour de vacances » mercredi, le groupe a publié un fichier torrent de 70 gigaoctets sur sa chaîne Telegram avec des données prétendument volées à l’entreprise, qui, selon les pirates, incluent le code source de ses entreprises clientes.
Globant a confirmé à TechCrunch qu’il a « détecté qu’une section limitée du référentiel de code de notre société a fait l’objet d’un accès non autorisé » et mène une enquête.
Les pirates ont également publié une liste des informations d’identification de l’entreprise utilisées pour accéder à ses plateformes de partage de code source, notamment GitHub, Jira, Crucible et Confluence. Groupe de recherche sur les logiciels malveillants VX-Métro a tweeté une capture d’écran expurgée de la publication Telegram des pirates, qui montre le groupe publiant ce qu’ils prétendent être les mots de passe de Globant, qui, s’ils étaient confirmés, seraient facilement devinables par un attaquant.
Avant de publier le fichier torrent, Lapsus$ a également partagé des captures d’écran d’un répertoire de fichiers contenant les noms de plusieurs sociétés considérées comme des clients de Globant, notamment Facebook, Citibank et C-Span.
Globant répertorie également un certain nombre de clients de premier plan sur son site Web, notamment la police métropolitaine du Royaume-Uni, la société de logiciels Autodesk et le géant du jeu Electronic Arts. Au moins un membre de Lapsus$ a été impliqué dans une violation de données chez Electronic Arts l’année dernière, bien qu’il ne soit pas clair si les deux incidents sont liés.
LAPSUS$ a également jeté ses administrateurs système sous le bus, exposant leurs mots de passe à la confluence (entre autres). Nous avons censuré les mots de passe qu’ils affichaient. Cependant, il convient de noter que ces mots de passe sont très facilement devinables et utilisés plusieurs fois… pic.twitter.com/gT7skg9mDw
— vx-underground (@vxunderground) 30 mars 2022
SOS Intelligence, un fournisseur de renseignements sur les menaces basé au Royaume-Uni qui a analysé les données divulguées, a déclaré à TechCrunch que « la fuite est légitime et très importante, en ce qui concerne Globant et les clients touchés par Globant ».
Amir Hadzipasic, directeur général du fournisseur de renseignements, affirme que les données comprennent une grande quantité de code source GitHub qui semble appartenir à Globant, ainsi qu’un certain nombre de référentiels contenant des « informations très sensibles » telles que les clés et chaînes privées de certificat TLS, Azure clés et clés API pour les services tiers. SOS Intelligence a également trouvé une collection d’environ 7 000 CV de candidats, plus de 150 bases de données et un « grand nombre » de clés privées pour un certain nombre de services différents.
Autodesk a confirmé qu’il enquêtait sur l’incident, mais aucun autre client de Globant n’a encore répondu.
Cette dernière infraction survient quelques jours seulement après que la police britannique a arrêté sept personnes liées au groupe Lapsus$, toutes âgées de 16 à 21 ans. En réponse à des questions sur les arrestations sur sa chaîne Telegram, Lapsus$ a affirmé qu’aucun membre du gang n’avait été arrêté.