Een actor die opereert onder het alias Lovely stelt miljoenen abonnementsgegevens van Wired in handen te hebben. Volgens de claim gaat het om ruim 2,3 miljoen records. De hacker dreigt met de publicatie van nog eens tientallen miljoenen gegevens afkomstig van andere titels van uitgever Condé Nast.
Dit meldt BleepingComputer. De dataset dook rond 20 december op verschillende hackersfora op, waar toegang tegen een kleine betaling werd aangeboden. De actor presenteert het lek als een gevolg van nalatigheid bij Condé Nast en stelt dat eerder gemelde beveiligingsproblemen niet of pas na lange tijd werden opgepakt. Uit frustratie daarover zou zijn besloten de data openbaar te maken.
Behalve Wired zouden ook gegevens van andere bekende publicaties binnen het Condé Nast-portfolio zijn buitgemaakt. De actor publiceerde aantallen records per titel, wat wijst op een bredere toegang tot interne systemen. Condé Nast heeft tot dusver niet bevestigd dat er sprake is geweest van een beveiligingsincident.
Analyse van de gelekte data door externe partijen wijst erop dat het bestand daadwerkelijk uit echte abonnementsgegevens bestaat. Een steekproef van records bleek overeen te komen met bestaande Wired-accounts. In totaal bevat de dataset ruim 2,36 miljoen vermeldingen met vrijwel evenveel unieke e-mailadressen. De bijbehorende tijdstempels lopen uiteen van de jaren negentig tot zeer recente data, wat vragen oproept over de consistentie van de metadata.
De meeste records bestaan uit een intern identificatienummer en een e-mailadres. In een deel van de gevallen zijn aanvullende persoonsgegevens aanwezig, zoals namen, adressen, telefoonnummers of geboortedata. Slechts een klein aantal records bevat meerdere van deze gegevens gecombineerd, wat wijst op sterk wisselende volledigheid binnen de database.
Beveiligingsonderzoekers hebben de authenticiteit van het lek verder getoetst door de gegevens te vergelijken met eerder buitgemaakte inloggegevens uit infostealer-campagnes. Daarbij werden overeenkomsten gevonden, wat het aannemelijk maakt dat het hier niet om gefabriceerde data gaat. Op basis daarvan is de dataset inmiddels opgenomen in Have I Been Pwned, zodat gebruikers kunnen controleren of hun e-mailadres is getroffen.
Hacker meldde zich als onderzoeker
Opvallend is dat de actor zich voorafgaand aan het lek zou hebben voorgedaan als beveiligingsonderzoeker. Er werd contact gezocht met derden om hulp te krijgen bij het melden van kwetsbaarheden binnen de infrastructuur van Condé Nast. In eerste instantie zou slechts een beperkte hoeveelheid data zijn verzameld om de ernst van de problemen aan te tonen. Toen een reactie uitbleef, volgde het besluit om de volledige dataset te downloaden en openbaarmaking te overwegen.
Achteraf wordt door betrokkenen geconcludeerd dat het hier niet ging om responsible disclosure, maar om een actor die bewust heeft aangestuurd op publicatie van gestolen gegevens. Condé Nast is om een reactie gevraagd, maar heeft op het moment van schrijven nog geen inhoudelijk commentaar gegeven.