黑客声称窃取源代码后,Target开发服务器已离线
黑客声称正在出售属于Target公司的内部源代码,此前他们在一个公共软件开发平台上发布了似乎是窃取的代码仓库样本。
上周,一个未知威胁行为者在Gitea上创建了多个仓库,其中似乎包含Target的部分内部代码和开发人员文档。这些仓库被呈现为一个更大数据集的预览版,据称该数据集正在地下论坛或私人渠道向买家出售。
在BleepingComputer就此次据称的入侵事件联系Target询问后,相关文件已被下线,该零售商的Git服务器git.target.com也无法从互联网访问。
黑客宣传出售Target源代码
上周,BleepingComputer收到线报,称一名威胁行为者在一个私人黑客社区发布截图,以支持其声称已获取Target内部开发环境访问权限的说法。
该行为者还在Gitea(一个类似于GitHub或GitLab的自托管Git服务)上发布了几个仓库,作为其声称正在出售的数据样本。
据消息源称,黑客声称"这是[第一组]即将拍卖的数据"。
每个仓库都包含一个名为SALE.MD的文件,列出了据称包含在完整数据集中的数万个文件和目录。该列表超过57,000行,宣传的完整存档大小约为860 GB。
Gitea样本仓库名称包括:
wallet-services-wallet-pentest-collections
TargetIDM-TAPProvisioingAPI
Store-Labs-wan-downer
Secrets-docs
GiftCardRed-giftcardui
值得注意的是,提交元数据和文档中引用了Target内部开发服务器的名称,以及多位现任Target首席和高级工程师。
Target的Git服务器已无法访问
BleepingComputer于周四与Target分享了Gitea链接,并就据称的入侵事件请求评论。
到周五和周六,所有仓库均已被移除并开始返回404错误,这与下架请求的情况一致。
大约在同一时间,Target位于git.target.com的开发人员Git服务器也变得无法从互联网访问。
直到周五,该子域名仍可访问并重定向到登录页面,提示Target员工通过公司安全网络或VPN连接。截至周六,该网站已无法从外部加载:
BleepingComputer还观察到,Google等搜索引擎已索引并缓存了git.target.com的少量资源,这表明该域名的某些内容在过去某个时间点曾可公开访问。
目前尚不清楚这些页面是何时被索引的,或在何种配置下被索引,它们在搜索结果中的存在并不一定表明当前的声称与服务器的任何暴露有关,也不意味着Git基础设施最近可以在无需认证的情况下访问。
证据指向内部来源
虽然BleepingComputer尚未独立验证完整的860 GB数据集或确认入侵事件是否发生,但SALE.MD索引中的目录结构、仓库命名和内部系统引用与大型企业Git环境相符。
此外,这些内容与Target在GitHub上的任何开源项目都不匹配,表明该材料(如果真实)应源自私有开发基础设施,而非公开发布的代码。
提交元数据和文档中出现现任Target首席和高级工程师的姓名,以及指向内部API端点和平台(如confluence.target.com)的链接,也引发了关于这些文件来源的疑问。
再者,用于存储Target据称被盗源代码的Gitea仓库已不再可用,这也指向可能存在入侵事件。
Target在最初索要仓库链接后,未能在发布前多次被联系时提供进一步评论。
根据美国参议院和学术调查,Target迄今为止公开披露的最重大安全事件仍是其2013年的入侵事件,当时攻击者窃取了多达1.1亿客户的支付卡数据和其他个人身份信息,并将其外泄至位于东欧的基础设施。