De hacker bekend als IntelBroker heeft de verantwoordelijkheid opgeëist voor het binnendringen van Hewlett Packard Enterprise (HPE), waarbij gevoelige gegevens openbaar zijn gemaakt, waaronder broncode, certificaten en persoonlijk identificeerbare informatie (PII), die nu online te koop is. Dit incident kwam aan het licht in een gesprek met Hackread.com en later aangekondigd op Breach Forums, een cybercriminaliteitsforum dat de hacker beheert.
IntelBroker claimt inbreuk op HPE, waardoor gevoelige gegevens openbaar worden gemaakt
IntelBroker, eerder in verband gebracht met talrijke spraakmakende datalekken, verklaarde dat de inbreuk het gevolg was van een directe aanval op de infrastructuur van HPE, en niet door het compromitteren van een derde partij, wat gebruikelijk is bij andere inbreuken. De hacker eist naar verluidt betaling in Monero (XML) cryptocurrency om de anonimiteit te behouden.
De gestolen gegevens omvatten volgens IntelBroker broncode, privé GitHub-repository’s, Docker-builds, zowel privé als openbare cryptografische certificaten, gebruikersgegevens gerelateerd aan oude leveringen en toegang tot API’s en WePay. Er werden een databoom en twee interne schermafbeeldingen gedeeld, die demonstreerden wat een ontwikkelings- of systeemomgeving lijkt te zijn die zowel open-source als propriëtaire middelen bevat.
Hackread.com’s analyse van de databoom onthulde verwijzingen naar privésleutels en certificaten, wat duidt op mogelijke blootstelling van gevoelig cryptografisch materiaal. De broncode voor HPE-producten zoals iLO en Zerto werd geïdentificeerd, wat wijst op gelekte eigen implementaties. Verdere analyse bracht bestanden aan het licht die verband hielden met privérepositorymappen, samen met .tar-archieven die verwezen naar gecompromitteerde ontwikkelingsbronnen.
De screenshots gaven inzicht in de interne systemen van HPE, waarbij één de details van de SignonService-webservice liet zien, inclusief eindpuntadressen en WSDL-koppelingen. De tweede schermafbeelding onthulde gevoelige configuratiedetails, waardoor inloggegevens voor Salesforce- en QIDs-integraties zichtbaar werden, evenals interne URL’s, die ernstige beveiligingskwetsbaarheden binnen de infrastructuur van HPE aan het licht kunnen brengen.
Deze inbreuk markeert een nieuw incident voor HPE, dat eerder in januari 2024 te maken kreeg met een cyberbeveiligingsincident toen het aan de SEC bekendmaakte dat door de staat gesponsorde Russische hackers inbreuk maakten op zijn servers en zich richtten op mailboxen van werknemers in kritieke functies.
IntelBroker is in verband gebracht met andere aanzienlijke inbreuken, waaronder een gerapporteerde aanval op Cisco in oktober 2024, waarbij terabytes aan gegevens werden gestolen als gevolg van een verkeerd geconfigureerde openbare DevHub-bron. De hacker beweerde ook dat hij inbreuk had gemaakt op Nokia en AMD, wat wijst op een patroon waarbij grote bedrijven zich richten op het verwerven van gevoelige gegevens.
Uitgelichte afbeeldingscredits: HPE
