نشت اطلاعات از Telefónica در پی حمله سایبری جدید توسط هکر ناشناس

یک هکر تهدید کرده است که ۱۰۶ گیگابایت داده را که مدعی است از شرکت مخابراتی اسپانیایی Telefónica در جریان یک رخنه امنیتی به‌دست آورده، منتشر خواهد کرد؛ در حالی‌که این شرکت تاکنون وقوع این نقض امنیتی را تأیید نکرده است.

این عامل تهدید برای اثبات ادعای خود، آرشیوی ۲.۶ گیگابایتی را افشا کرده که پس از استخراج، به پنج گیگابایت داده شامل بیش از ۲۰٬۰۰۰ فایل تبدیل می‌شود.

نقض امنیتی مذکور ظاهراً در تاریخ ۳۰ مه رخ داده و هکر ادعا می‌کند که به مدت ۱۲ ساعت بدون وقفه به استخراج داده‌ها  دسترسی داشته است، پیش از آنکه مدافعان دسترسی وی را لغو کنند.

هکری که مسئولیت این حمله را بر عهده گرفته با نام “Rey” شناخته می‌شود و عضوی از گروه Hellcat Ransomware است؛ گروهی که پیش‌تر نیز در ژانویه با نفوذ به سرور توسعه و تیکتینگ داخلی Jira در شرکت Telefónica موجب یک نقض امنیتی دیگر شده بود.

Rey در گفتگو با وب‌سایت BleepingComputer اعلام کرده که در جریان این حمله موفق به استخراج ۳۸۵٬۳۱۱ فایل به حجم کلی ۱۰۶.۳ گیگابایت شده است. این داده‌ها شامل ارتباطات داخلی (مانند تیکت‌ها و ایمیل‌ها)، سفارشات خرید، لاگ‌های داخلی، اطلاعات مشتریان و داده‌های کارکنان بوده‌اند.

به گفته وی، این نفوذ که در تاریخ ۳۰ مه انجام شده، به‌دلیل یک پیکربندی نادرست (misconfiguration) در Jira پس از رخنه‌ی امنیتی پیشین امکان‌پذیر شده است.

BleepingComputer از تاریخ ۳ ژوئن بارها تلاش کرده تا از طریق ایمیل با شرکت Telefónica تماس بگیرد. همچنین با چند تن از اعضای ارشد (C-suite) شرکت نیز تماس برقرار شده، اما هیچ‌گونه پاسخی در خصوص نفوذ ۳۰ مه دریافت نشده است.

تنها پاسخی که این رسانه دریافت کرده، از سوی یکی از کارکنان Telefónica O2 بوده که این رخداد ادعایی را به‌عنوان تلاشی برای اخاذی با استفاده از اطلاعات قدیمی مربوط به یک حادثه پیشین رد کرده است.

Telefónica O2 برند شرکت اسپانیایی Telefónica برای فعالیت‌های مخابراتی در بریتانیا و آلمان است.

Rey نمونه‌ای از داده‌های سرقت‌شده ادعایی به‌همراه ساختار درختی فایل‌ها (file tree) را در اختیار BleepingComputer قرار داده است. برخی از این فایل‌ها شامل فاکتورهایی مربوط به مشتریان تجاری در کشورهای مختلف از جمله مجارستان، آلمان، اسپانیا، شیلی و پرو بوده‌اند.

در فایل‌های دریافتی، آدرس‌های ایمیل کارکنان در کشورهای اسپانیا، آلمان، پرو، آرژانتین و شیلی مشاهده شده و همچنین فاکتورهایی مربوط به شرکای تجاری یا مشتریان در کشورهای اروپایی وجود داشته است.

با این حال، جدیدترین فایلی که در میان این داده‌ها یافت شده مربوط به سال ۲۰۲۱ است، موضوعی که با ادعای نماینده شرکت مبنی بر استفاده از اطلاعات قدیمی هم‌خوانی دارد.

با این وجود، هکر به‌طور قاطع تأکید دارد که این داده‌ها حاصل یک نفوذ جدید در تاریخ ۳۰ مه هستند. وی برای اثبات ادعای خود، بخشی از فایل‌های سرقت‌شده را منتشر کرده است.

Rey در این‌باره گفته است:
«از آنجایی که Telefónica وجود نقض امنیتی اخیر با حجم ۱۰۶ گیگابایت از زیرساخت داخلی‌اش را انکار می‌کند، من در اینجا ۵ گیگابایت را به‌عنوان مدرک منتشر می‌کنم. به‌زودی ساختار کامل فایل‌ها را منتشر خواهم کرد و اگر Telefónica همکاری نکند، طی هفته‌های آینده کل آرشیو را منتشر خواهم کرد. ;)»

داده‌های سرقت‌شده در ابتدا از طریق سرویس‌های ذخیره‌سازی و انتقال داده PixelDrain منتشر شدند، اما پس از چند ساعت به دلایل قانونی حذف گردیدند.

عامل تهدید (threat actor) در ادامه لینک دانلود جدیدی را از سرویس Kotizada منتشر کرد؛ سرویسی که مرورگر Google Chrome آن را به‌عنوان وب‌سایتی خطرناک شناسایی کرده و قویاً توصیه می‌کند کاربران از دسترسی به آن خودداری کنند.

تا زمانی که Telefónica بیانیه رسمی صادر نکند، مشخص نیست که آیا این یک نفوذ جدید با داده‌های قدیمی است یا خیر. با این حال، طبق یافته‌های وب‌سایت BleepingComputer، برخی از آدرس‌های ایمیل موجود در این افشاگری متعلق به کارکنان فعالی هستند که همچنان در حال اشتغال‌اند.

گروه هکری HellCat گروهی تازه‌کار نیست و به‌طور معمول سرورهای Jira را هدف حملات خود قرار می‌دهد. این گروه مسئول حملات متعددی به شرکت‌های مطرح بین‌المللی بوده است.

آن‌ها پیش‌تر ادعای نفوذ به شرکت‌هایی نظیر Ascom (ارائه‌دهنده جهانی راهکارهای ارتباطی مستقر در سوئیس)، Jaguar Land Rover، Affinitiv، Schneider Electric و Orange Group را مطرح کرده‌اند.