Eine Gruppe, die sich „NullBulge“ nennt, veröffentlichte letzte Woche einen 1,1 TB großen Datenschatz, von dem sie behauptete, es handele sich um einen Dump der internen Slack-Archive von Disney. Die Daten würden alle Nachrichten und Dateien von fast 10.000 Kanälen umfassen, einschließlich unveröffentlichter Projekte, Code, Bilder, Anmeldeinformationen und Links zu internen Websites und APIs.
Die Hacker behaupten, sie hätten über einen Disney-Insider Zugang zu den Daten erhalten und nannten den mutmaßlichen Kollaborateur. Eine Person mit diesem Namen, die Disney als ihren aktuellen Arbeitgeber angibt, antwortete nicht auf die Bitte von WIRED um einen Kommentar. Es ist unklar, ob die Piraten tatsächlich interne Hilfe erhielten. Möglicherweise haben sie auch Schadsoftware eingesetzt, die Informationen stiehlt, um das Konto eines Mitarbeiters zu kompromittieren. Disney hat den Verstoß nicht bestätigt und auch nicht auf mehrere Anfragen nach einer Stellungnahme zur Legitimität der gestohlenen Daten geantwortet. Ein Disney-Sprecher sagte dem Wall Street Journal, dass das Unternehmen „diese Angelegenheit untersucht“.
Die Daten, die offenbar erstmals am Donnerstag veröffentlicht wurden, wurden auf BreachForums veröffentlicht und dann gelöscht, sind aber auf Mirror-Sites immer noch online.
Roei Sherman, technischer Direktor bei Mitiga Security, ist nicht überrascht, dass ein Riese wie Disney Opfer eines Verstoßes dieser Größenordnung und Bedeutung geworden sein könnte. „Unternehmen erleben ständig Sicherheitsverstöße, insbesondere Datendiebstahl auf Cloud- und SaaS-Plattformen“, erklärt er. „Für Angreifer ist es einfach einfacher und die Gewinne sind größer. »
Sherman, der die durchgesickerten Daten überprüfte, fügte hinzu, dass „alles legitim aussieht: viele URLs, Mitarbeitergespräche, identifizierende Informationen und andere Inhalte.“
Die Website NullBulge präsentiert sich als „hacktivistische Gruppe, die die Rechte von Künstlern schützt und eine faire Vergütung für ihre Arbeit garantiert“. Die Gruppe behauptet, dass sie nur Ziele hackt, die gegen eine von drei „Sünden“ verstoßen. Erstens: „Wir unterstützen keinerlei Werbung für Kryptowährungen oder kryptowährungsbezogene Produkte/Dienstleistungen.“ Zweitens: „Wir glauben, dass KI-generierte Kunstwerke schädlich für die Kreativbranche sind und davon abgeraten werden sollten.“ Und drittens: „Jeder Diebstahl von Patreon, anderen Künstlerunterstützungsplattformen oder Künstlern im Allgemeinen.“
Die „Wissenswand“ der Gruppe, in der ihre Datenschutzverstöße aufgelistet sind, fasst die Philosophie der Gruppe zusammen: „Wie könnte man jemanden besser bestrafen, als ihn in Schwierigkeiten zu bringen, oder?“ » Zuvor hatte die Gruppe den indischen Content-Ersteller Chief Shifter mit einer „ersten Beschämung“ ins Visier genommen. Dann, im Mai, veröffentlichte NullBulge einen „zweiten Schlag“ und prangerte Disneys Verstoß an. „Hier ist eines, von dem ich nie gedacht hätte, dass ich es so schnell erhalten würde … Disney. Ja, dieses Disney“, schrieb NullBuldge und deutete an, dass die Gruppe aus einer Person bestehen könnte. „Die Offensive fängt gerade erst an, aber wir haben gute Sachen.“ Um zu zeigen, dass wir es ernst meinen, hier zwei Dateien von innen. »
Zusätzlich zu den angeblichen Slack-Daten hat NullBulge scheinbar detaillierte Informationen darüber veröffentlicht, wer ihrer Meinung nach den Zugriff und die internen Daten bereitgestellt hat. Das Leck umfasst Krankenakten und andere personenbezogene Daten sowie mutmaßliche Inhalte des 1Password-Passwortmanagers des mutmaßlichen Disney-Mitarbeiters. NullBulge gibt an, die Person als Vergeltung für die Unterbrechung der Kommunikation und des Zugangs gedoxxt zu haben. Ob der Mitarbeiter überhaupt tatsächlich mit der Gruppe zusammengearbeitet hat, muss jedoch noch bestätigt werden.
Sicherheitsforscher warnen schon seit langem, dass die Slack-Konten von Unternehmen im Falle einer Kompromittierung eine Fundgrube für Angreifer darstellen. Die beliebte Teamkommunikationsplattform gehört Salesforce und wird von vielen namhaften Unternehmen genutzt, darunter IBM, Capital One, Uber und dem Disney-Rivalen Paramount.
„Disney wird jetzt wahrscheinlich viel stärker ins Visier opportunistischer Bösewichte geraten“, warnt Sherman.