Hackers afirmam estar vendendo o código-fonte interno da Target Corporation após publicarem uma amostra dos repositórios roubados em uma plataforma pública de desenvolvimento de software.
Na semana passada, um ator desconhecido criou múltiplos repositórios no Gitea — um serviço Git auto-hospedado semelhante ao GitHub ou GitLab — que continham partes do código interno da Target e documentos para desenvolvedores.
Esses repositórios foram apresentados como uma prévia de um conjunto muito maior de dados, supostamente oferecido para venda em fóruns underground ou canais privados.
Os repositórios publicados continham um arquivo chamado SALE.MD, com listas de dezenas de milhares de arquivos e diretórios supostamente incluídos no pacote completo.
O índice tinha mais de 57 mil linhas e indicava um tamanho total de cerca de 860 GB.
Entre os nomes dos repositórios amostrais no Gitea estavam:
- wallet-services-wallet-pentest-collections
- TargetIDM-TAPProvisioningAPI
- Store-Labs-wan-downer
- Secrets-docs
- GiftCardRed-giftcardui
Vale destacar que os metadados dos commits e a documentação mencionavam nomes de servidores internos da Target, além de diversos engenheiros líderes e seniores atualmente na empresa.
Na sexta-feira e no sábado, todos os repositórios foram removidos, passando a retornar erros 404, indicativo de pedido de remoção.
Nesse mesmo período, o servidor Git da Target, git.target.com, também ficou indisponível externamente.
Até sexta-feira, o subdomínio ainda estava acessível e redirecionava para uma página de login que solicitava conexão via VPN ou rede segura da empresa.
Desde sábado, o site deixou de carregar externamente.
No entanto, não está claro quando essas páginas foram indexadas ou sob qual configuração, e a presença nos resultados de busca não significa que a exposição atual esteja relacionada a essa indexação nem que o servidor estivesse disponível sem autenticação recentemente.
Além disso, o conteúdo não corresponde a nenhum projeto open source da Target no GitHub, sugerindo que o material, se legítimo, provém da infraestrutura privada de desenvolvimento da companhia e não de código público.
A presença dos nomes de engenheiros líderes e seniores da Target nos metadados dos commits, junto a links para APIs internas e plataformas como confluence.target.com, reforça a autenticidade dos arquivos.
O fato de os repositórios no Gitea usados para armazenar o código supostamente roubado já terem sido removidos também indica a possibilidade de uma invasão.
Após a solicitação inicial dos links, a Target não comentou mais, mesmo diante de múltiplos contatos antes da publicação da reportagem.
Até o momento, o incidente de segurança mais grave divulgado publicamente pela Target permanece sendo a violação de 2013, quando hackers roubaram dados de cartões de pagamento e outras informações pessoais de até 110 milhões de clientes, exfiltrando-os para infraestruturas localizadas no Leste Europeu, conforme investigações do Senado dos EUA e instituições acadêmicas.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...