El hacker conocido como IntelBroker se atribuyó la responsabilidad de violar Hewlett Packard Enterprise (HPE), exponiendo datos confidenciales, incluido el código fuente, certificados e información de identificación personal (PII), que ahora está disponible para la venta en línea. Este incidente fue revelado en una conversación con Hackread.com y luego anunciado en Breach Forums, un foro sobre delitos cibernéticos que administra el hacker.
IntelBroker afirma violación de HPE, datos confidenciales expuestos
IntelBroker, anteriormente vinculado a numerosas violaciones de datos de alto perfil, afirmó que la violación fue el resultado de un ataque directo a la infraestructura de HPE, en lugar de comprometer a un tercero, lo cual es común en otras violaciones. Según se informa, el hacker exige el pago en la criptomoneda Monero (XML) para mantener el anonimato.
Los datos robados, según IntelBroker, incluyen código fuente, repositorios privados de GitHub, compilaciones de Docker, certificados criptográficos públicos y privados, datos de usuario relacionados con entregas antiguas y acceso a API y WePay. Se compartieron un árbol de datos y dos capturas de pantalla internas, que demuestran lo que parece ser un entorno de desarrollo o sistema que contiene activos de código abierto y propietarios.
El análisis del árbol de datos realizado por Hackread.com reveló referencias a claves privadas y certificados, lo que sugiere una posible exposición de material criptográfico sensible. Se identificó el código fuente de productos HPE como iLO y Zerto, lo que indica implementaciones propietarias filtradas. Un análisis más detallado descubrió archivos asociados con directorios de repositorios privados, junto con archivos .tar que apuntan a recursos de desarrollo comprometidos.
Las capturas de pantalla proporcionaron información sobre los sistemas internos de HPE, y una muestra detalles del servicio web SignonService, incluidas direcciones de puntos finales y enlaces WSDL. La segunda captura de pantalla reveló detalles de configuración confidenciales, exponiendo credenciales para integraciones de Salesforce y QID, así como URL internas, que pueden resaltar graves vulnerabilidades de seguridad dentro de la infraestructura de HPE.
Esta violación marca un nuevo incidente para HPE, que anteriormente se encontró con un incidente de ciberseguridad en enero de 2024 cuando reveló a la SEC que piratas informáticos rusos patrocinados por el estado violaron sus servidores y atacaron los buzones de correo de los empleados en funciones críticas.
Intel Broker se ha asociado con otras violaciones importantes, incluido un ataque reportado a Cisco en octubre de 2024, durante el cual se robaron terabytes de datos debido a un recurso DevHub público mal configurado. El hacker también afirmó haber violado Nokia y AMD, lo que indica un patrón de apuntar a grandes empresas para la adquisición de datos confidenciales.
Crédito de la imagen destacada: HPE
