L’hacker noto come IntelBroker ha rivendicato la responsabilità di aver violato Hewlett Packard Enterprise (HPE), esponendo dati sensibili, inclusi codice sorgente, certificati e informazioni di identificazione personale (PII), ora disponibili per la vendita online. Questo incidente è stato rivelato in una conversazione con Hackread.com e successivamente annunciato su Breach Forums, un forum sulla criminalità informatica amministrato dall’hacker.
IntelBroker denuncia una violazione di HPE, dati sensibili esposti
IntelBroker, precedentemente collegata a numerose violazioni di dati di alto profilo, ha affermato che la violazione è derivata da un attacco diretto all’infrastruttura di HPE, piuttosto che dalla compromissione di una terza parte, cosa comune in altre violazioni. Secondo quanto riferito, l’hacker richiederebbe il pagamento in criptovaluta Monero (XML) per mantenere l’anonimato.
I dati rubati, secondo IntelBroker, includono codice sorgente, repository GitHub privati, build Docker, certificati crittografici sia privati che pubblici, dati utente relativi a vecchie consegne e accesso alle API e WePay. Sono stati condivisi un albero di dati e due screenshot interni, che dimostrano quello che sembra essere un ambiente di sviluppo o di sistema contenente sia risorse open source che proprietarie.
L’analisi dell’albero dei dati effettuata da Hackread.com ha rivelato riferimenti a chiavi e certificati privati, suggerendo la potenziale esposizione di materiale crittografico sensibile. È stato identificato il codice sorgente per prodotti HPE come iLO e Zerto, indicando implementazioni proprietarie trapelate. Ulteriori analisi hanno scoperto file associati a directory di repository private, insieme ad archivi .tar che puntavano a risorse di sviluppo compromesse.
Gli screenshot fornivano approfondimenti sui sistemi interni di HPE, uno dei quali mostrava i dettagli del servizio Web SignonService, inclusi gli indirizzi degli endpoint e i collegamenti WSDL. Il secondo screenshot ha rivelato dettagli sensibili di configurazione, esponendo credenziali per le integrazioni Salesforce e QID, nonché URL interni, che potrebbero evidenziare gravi vulnerabilità di sicurezza all’interno dell’infrastruttura di HPE.
Questa violazione segna un nuovo incidente per HPE, che in precedenza aveva riscontrato un incidente di sicurezza informatica nel gennaio 2024 quando aveva rivelato alla SEC che hacker russi sponsorizzati dallo stato avevano violato i suoi server, prendendo di mira le caselle di posta dei dipendenti in funzioni critiche.
IntelBroker è stato associato ad altre violazioni significative, incluso un attacco segnalato a Cisco nell’ottobre 2024, durante il quale terabyte di dati sono stati rubati a causa di una risorsa DevHub rivolta al pubblico non configurata correttamente. L’hacker ha inoltre affermato di aver violato Nokia e AMD, indicando un modello che prende di mira le grandi aziende per l’acquisizione di dati sensibili.
Credito immagine in primo piano: HPE
