พนักงานปัจจุบันและอดีตของ Target หลายคนได้ยืนยันกับ BleepingComputer ว่าตัวอย่างซอร์สโค้ดและเอกสารที่ผู้คุกคามเผยแพร่ออนไลน์นั้นตรงกับระบบภายในของบริษัทจริง นอกจากนี้ บริษัทยังได้ดำเนินการ ‘เร่ง’ ล็อกดาวน์เซิร์ฟเวอร์ Git ของตน โดยกำหนดให้เข้าถึงผ่าน VPN เท่านั้น หลังถูก BleepingComputer ติดต่อสอบถามเกี่ยวกับข้อมูลที่รั่วไหล
Severity: สูง
System Impact:
- เซิร์ฟเวอร์ Git องค์กร (git.target.com)
- ระบบ CI/CD ภายใน
- แพลตฟอร์มการปรับใช้และประสานงานแอปพลิเคชัน (BigRED, TAP [Provisioning])
- ชุดข้อมูล Hadoop
- Vela (แพลตฟอร์ม CI/CD ที่ปรับแต่ง)
- JFrog Artifactory (โครงสร้างพื้นฐานห่วงโซ่อุปทานซอฟต์แวร์)
- ระบบจัดการตัวตนและการเข้าถึง (IAM)
- Confluence
- Wiki
- Jira
Technical Attack Steps:
- ผู้คุกคามอ้างว่าขโมยซอร์สโค้ดและเอกสารภายในของ Target ได้
- ตัวอย่างข้อมูลที่ถูกขโมยถูกเผยแพร่บนแพลตฟอร์ม Gitea สาธารณะ
- พนักงานปัจจุบันและอดีตของ Target ยืนยันความถูกต้องของข้อมูลที่รั่วไหล
- มีการระบุว่าเวิร์กสเตชันของพนักงาน Target รายหนึ่งถูกบุกรุกด้วยมัลแวร์ขโมยข้อมูล ซึ่งมีสิทธิ์เข้าถึงบริการภายใน (IAM, Confluence, Wiki, Jira)
- เซิร์ฟเวอร์ Git องค์กร (git.target.com) เคยสามารถเข้าถึงได้จากอินเทอร์เน็ตสาธารณะ (แม้จะต้องการการรับรองความถูกต้องของพนักงาน) ก่อนที่จะถูกล็อกดาวน์
Recommendations:
Short Term:
- จำกัดการเข้าถึงเซิร์ฟเวอร์ Git องค์กร (git.target.com) โดยกำหนดให้ต้องเชื่อมต่อผ่านเครือข่ายที่จัดการโดย Target หรือ VPN เท่านั้น
- ตรวจสอบและแก้ไขช่องโหว่ความปลอดภัยที่อาจเกิดขึ้นในเซิร์ฟเวอร์และระบบที่เกี่ยวข้องโดยทันที
Long Term:
- ดำเนินการสอบสวนเชิงลึกเพื่อหาสาเหตุหลักของการรั่วไหลของข้อมูล ว่าเกิดจากการบุกรุกโดยตรง, การประนีประนอมบัญชีพนักงาน หรือสาเหตุอื่น ๆ
- ปรับปรุงมาตรการรักษาความปลอดภัยสำหรับเวิร์กสเตชันของพนักงาน เพื่อป้องกันมัลแวร์ขโมยข้อมูลและภัยคุกคามอื่น ๆ
- เสริมสร้างการควบคุมการเข้าถึงและการรับรองความถูกต้องแบบหลายปัจจัย (MFA) สำหรับระบบภายในและสภาพแวดล้อมการพัฒนาที่สำคัญ
- ตรวจสอบและเสริมความแข็งแกร่งของความปลอดภัยใน CI/CD pipelines และโครงสร้างพื้นฐานห่วงโซ่อุปทาน เช่น JFrog Artifactory
- จัดการฝึกอบรมด้านความปลอดภัยไซเบอร์ให้กับพนักงานอย่างต่อเนื่อง เพื่อสร้างความตระหนักรู้และแนวปฏิบัติที่ดีที่สุด
Share this content: