誤公開されたGitHubトークンを使い、ニューヨークタイムズのソースコードが盗まれる | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 誤公開されたGitHubトークンを使い、ニューヨークタイムズのソースコードが盗まれる

Threat Report

4chan

AI

GitHub

誤公開されたGitHubトークンを使い、ニューヨークタイムズのソースコードが盗まれる

nosa

nosa

2024.06.10

6月7~10日:サイバーセキュリティ関連ニュース

誤公開されたGitHubトークンを使い、ニューヨークタイムズのソースコードが盗まれる

BleepingComputer – June 8, 2024 

米ニューヨークタイムズ社の内部データやソースコードが2024年1月に同社GitHubリポジトリから盗まれ、4chanのメッセージボード上に漏洩していたことが発覚。BleepingComputerの取材に対し、同社がこの事実を認めた。

これらのデータは、匿名のユーザーによって6日にリークされた。フォーラムには「基本的にニューヨークタイムズ社に属するすべてのソースコード、270GB。リポジトリは約5,000件(さらに暗号化されているのはそのうち30件以下と思われる)、合わせて360万件のファイル、非圧縮のtar形式」などと記されている。

フォルダ名から判断すると、ITドキュメントやインフラツール、ソースコードなどさまざまな情報が盗まれたことがわかり、バイラルゲームWordleも含まれていたようだ。アーカイブ内の「readme」ファイルには、脅威アクターが漏洩GitHubトークンを使ってニューヨークタイムズ社のリポジトリにアクセスし、データを盗んだ旨が記されている。なお同社自身も声明において、1月の侵害の直前に意図せずGitHub用の認証情報が公開されていたことを報告済み。

同社は社内システムに影響はなく、業務にも支障は出ていないとコメントした。侵害データが4chanに公開される事例はここ最近で2件目。5日にはかつてディズニーが提供していたゲームClub Penguinの内部文書415MBの流出が報じられている。

マイクロソフトが世論に屈服、物議醸すWindows Recallをデフォルトで無効に

SecurityWeek – June 7, 2024

マイクロソフトが世論の圧力に屈し、Copilot+ PCの物議を醸している新機能Windows Recallをデフォルトで無効にした。

この機能はユーザーが操作する画面を数秒ごとに撮影し、そのスクリーンショットをローカルに保存してAIで分析・抽出し、検索可能な状態にするもの。これが当初はデフォルトで有効になっていたが、セキュリティとプライバシーに関する懸念から広く批判された上、研究者からもデータ保護が十分ではないとの証拠を突きつけられていた。

こうした批判が主流メディアに広がったことを受け、マイクロソフト社はついに方針を転換。7日にはCopilot+ PCの設定を変更して「より明確なオプトインの選択肢」を提供すると発表し、「ユーザーが自らの意思でオンにすることを選択しない場合、デフォルトでオフになる」ことを明らかにした。

同社はRecall機能のデータ保護をさらに強化するため、Windows Helloの拡張サインインセキュリティ(ESS)によって保護された「ジャストインタイム方式」の復号化技術も導入した。これにより、Recall機能の保存データにアクセスするには、その都度ユーザー認証が必要になるという。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ