La société de conseil en informatique et logiciels Globant a confirmé qu’ils avaient été piratés par le groupe d’extorsion de données Lapsus$, où des données composées d’informations d’identification d’administrateur et de code source ont été divulguées par les acteurs de la menace.
Dans le cadre de la fuite, le groupe de piratage a publié une archive de 70 Go de données volées à Globant, la décrivant comme « du code source de certains clients ».
Code source et clés privées
Globant est une société de développement informatique et de logiciels avec plus de 16 000 employés dans le monde et un chiffre d’affaires de 1,2 milliard de dollars pour 2021.
Fondée à Buenos Aires, en Argentine, Globant a actuellement son siège social au Luxembourg et possède une liste de clients bien connue, notamment la police métropolitaine, SmileDirectClub, Autodesk, Electronic Arts, Santander, Interbank, Royal Carribbean et bien d’autres.
Suite à la fuite de Lapsus$, Globant a publié un communiqué de presse confirmant qu’une partie du code source de l’entreprise a été exposée à une partie non autorisée.
« Nous avons récemment détecté qu’une section limitée du référentiel de code de notre entreprise a fait l’objet d’un accès non autorisé » – Globale
Parmi les données publiées par Lapsus$, il y a une capture d’écran que le groupe prétend être d’un répertoire archivé de Globant, contenant des noms de dossiers qui semblent être des clients de l’entreprise.
Certains des dossiers de code source répertoriés dans la capture d’écran incluent Abbott, apple-health-app, C-span, Fortune, Facebook, DHL et Arcserve.
Les métadonnées des entrées montrent que les dossiers ont été modifiés le 29 mars, ce qui pourrait indiquer quand les données ont été volées.
Dans un article de suivi, Lapsus$ a publié un ensemble d’informations d’identification pour ce qu’ils disent donner un accès administrateur à diverses plates-formes utilisées par Globant pour développer, réviser et collaborer sur le code client (Jira, Confluence, GitHub, Crucible).
Un troisième message du gang a partagé aujourd’hui un fichier torrent pour environ 70 Go de données volées à Globant. La société affirme que l’intrus sur ses systèmes a accédé à « certains codes sources et à la documentation relative au projet pour un nombre très limité de clients ».
Les dégâts semblent importants.
Selon la société de renseignement sur les menaces SOS Intelligenceles données divulguées contiennent des informations sur les clients ainsi qu’un référentiel de codes avec un grand nombre de clés privées (chaîne complète, certificats SSL de serveur Web, serveur Globant, clés API).
L’un des référentiels concerne l’application Bluecap pour le conseil dans le secteur financier, que Globant a acquise fin 2020.
Le cache divulgué par Lapsus $ comprend également un peu plus de 150 fichiers de base de données SQL pour diverses applications client, indique SOS Intelligence.
« En termes de légitimité, en se basant uniquement sur le volume, il est difficile de fabriquer cette quantité de données – cependant, des échantillons de données ont été croisés avec des systèmes en direct et d’autres méthodes qui montrent que la fuite est légitime et très importante en ce qui concerne Globant et Globant. les clients impactés sont concernés » – SOS Intelligence
Globant a déclaré aujourd’hui que son enquête sur l’incident n’avait révélé aucune preuve que les pirates avaient compromis d’autres parties de son système d’infrastructure.
Lapsus$ sur le radar LE
Le groupe d’extorsion de données Lapsus$ fait constamment l’actualité en raison de ses attaques contre de grandes entreprises technologiques, comme Microsoft, Nvidia, Samsung, Okta, Ubisoft, dont beaucoup entraînent de grandes fuites de données.
Malgré les grands noms sur leur liste de victimes, on pense que Lapsus$ est formé principalement par des adolescents exerçant leurs compétences en piratage, principalement pour se faire un nom sur la scène du piratage, et non par motivation financière.
Le groupe est sur le radar des forces de l’ordre depuis un certain temps et certains individus, tous des adolescents soupçonnés d’être liés à Lapsus $, ont été arrêtés au Royaume-Uni.
Le FBI enquête également sur les activités du groupe et a demandé au public toute information permettant d’identifier les membres de Lapsus$ impliqués dans la compromission des réseaux informatiques d’entreprises basées aux États-Unis.
Cependant, on ne sait pas combien de membres actifs sont dans le groupe et quels rôles ils jouent.
On pense que Lapsus$ a des filiales dans le monde entier, car leur Les discussions par télégramme semblent suggérer que certains d’entre eux parlent anglais, russe, turc, allemand et portugais.