نشت اطلاعات از Telefónica در پی حمله سایبری جدید توسط هکر ناشناس
یک هکر تهدید کرده است که ۱۰۶ گیگابایت داده را که مدعی است از شرکت مخابراتی اسپانیایی Telefónica در جریان یک رخنه امنیتی بهدست آورده، منتشر خواهد کرد؛ در حالیکه این شرکت تاکنون وقوع این نقض امنیتی را تأیید نکرده است.
این عامل تهدید برای اثبات ادعای خود، آرشیوی ۲.۶ گیگابایتی را افشا کرده که پس از استخراج، به پنج گیگابایت داده شامل بیش از ۲۰٬۰۰۰ فایل تبدیل میشود.
نقض امنیتی مذکور ظاهراً در تاریخ ۳۰ مه رخ داده و هکر ادعا میکند که به مدت ۱۲ ساعت بدون وقفه به استخراج دادهها دسترسی داشته است، پیش از آنکه مدافعان دسترسی وی را لغو کنند.
هکری که مسئولیت این حمله را بر عهده گرفته با نام “Rey” شناخته میشود و عضوی از گروه Hellcat Ransomware است؛ گروهی که پیشتر نیز در ژانویه با نفوذ به سرور توسعه و تیکتینگ داخلی Jira در شرکت Telefónica موجب یک نقض امنیتی دیگر شده بود.
Rey در گفتگو با وبسایت BleepingComputer اعلام کرده که در جریان این حمله موفق به استخراج ۳۸۵٬۳۱۱ فایل به حجم کلی ۱۰۶.۳ گیگابایت شده است. این دادهها شامل ارتباطات داخلی (مانند تیکتها و ایمیلها)، سفارشات خرید، لاگهای داخلی، اطلاعات مشتریان و دادههای کارکنان بودهاند.
به گفته وی، این نفوذ که در تاریخ ۳۰ مه انجام شده، بهدلیل یک پیکربندی نادرست (misconfiguration) در Jira پس از رخنهی امنیتی پیشین امکانپذیر شده است.
BleepingComputer از تاریخ ۳ ژوئن بارها تلاش کرده تا از طریق ایمیل با شرکت Telefónica تماس بگیرد. همچنین با چند تن از اعضای ارشد (C-suite) شرکت نیز تماس برقرار شده، اما هیچگونه پاسخی در خصوص نفوذ ۳۰ مه دریافت نشده است.
تنها پاسخی که این رسانه دریافت کرده، از سوی یکی از کارکنان Telefónica O2 بوده که این رخداد ادعایی را بهعنوان تلاشی برای اخاذی با استفاده از اطلاعات قدیمی مربوط به یک حادثه پیشین رد کرده است.
Telefónica O2 برند شرکت اسپانیایی Telefónica برای فعالیتهای مخابراتی در بریتانیا و آلمان است.
Rey نمونهای از دادههای سرقتشده ادعایی بههمراه ساختار درختی فایلها (file tree) را در اختیار BleepingComputer قرار داده است. برخی از این فایلها شامل فاکتورهایی مربوط به مشتریان تجاری در کشورهای مختلف از جمله مجارستان، آلمان، اسپانیا، شیلی و پرو بودهاند.
در فایلهای دریافتی، آدرسهای ایمیل کارکنان در کشورهای اسپانیا، آلمان، پرو، آرژانتین و شیلی مشاهده شده و همچنین فاکتورهایی مربوط به شرکای تجاری یا مشتریان در کشورهای اروپایی وجود داشته است.
با این حال، جدیدترین فایلی که در میان این دادهها یافت شده مربوط به سال ۲۰۲۱ است، موضوعی که با ادعای نماینده شرکت مبنی بر استفاده از اطلاعات قدیمی همخوانی دارد.
با این وجود، هکر بهطور قاطع تأکید دارد که این دادهها حاصل یک نفوذ جدید در تاریخ ۳۰ مه هستند. وی برای اثبات ادعای خود، بخشی از فایلهای سرقتشده را منتشر کرده است.
Rey در اینباره گفته است:
«از آنجایی که Telefónica وجود نقض امنیتی اخیر با حجم ۱۰۶ گیگابایت از زیرساخت داخلیاش را انکار میکند، من در اینجا ۵ گیگابایت را بهعنوان مدرک منتشر میکنم. بهزودی ساختار کامل فایلها را منتشر خواهم کرد و اگر Telefónica همکاری نکند، طی هفتههای آینده کل آرشیو را منتشر خواهم کرد. ;)»
دادههای سرقتشده در ابتدا از طریق سرویسهای ذخیرهسازی و انتقال داده PixelDrain منتشر شدند، اما پس از چند ساعت به دلایل قانونی حذف گردیدند.
عامل تهدید (threat actor) در ادامه لینک دانلود جدیدی را از سرویس Kotizada منتشر کرد؛ سرویسی که مرورگر Google Chrome آن را بهعنوان وبسایتی خطرناک شناسایی کرده و قویاً توصیه میکند کاربران از دسترسی به آن خودداری کنند.
تا زمانی که Telefónica بیانیه رسمی صادر نکند، مشخص نیست که آیا این یک نفوذ جدید با دادههای قدیمی است یا خیر. با این حال، طبق یافتههای وبسایت BleepingComputer، برخی از آدرسهای ایمیل موجود در این افشاگری متعلق به کارکنان فعالی هستند که همچنان در حال اشتغالاند.
گروه هکری HellCat گروهی تازهکار نیست و بهطور معمول سرورهای Jira را هدف حملات خود قرار میدهد. این گروه مسئول حملات متعددی به شرکتهای مطرح بینالمللی بوده است.
آنها پیشتر ادعای نفوذ به شرکتهایی نظیر Ascom (ارائهدهنده جهانی راهکارهای ارتباطی مستقر در سوئیس)، Jaguar Land Rover، Affinitiv، Schneider Electric و Orange Group را مطرح کردهاند.