Des pirates informatiques associés au collectif hacktiviste Anonymous disent avoir divulgué des gigaoctets de données à Epik, un hébergeur Web et un registraire de domaine qui fournit des services à des sites d’extrême droite comme Gab, Parler et 8chan, qui ont trouvé refuge dans Epik après avoir été démarrés à partir de plateformes grand public. .

Dans une déclaration jointe à un fichier torrent des données sous-évaluées cette semaine, le groupe a déclaré que les 180 gigaoctets équivalaient à « une décennie » de données d’entreprise, y compris « tout ce qui est nécessaire pour retracer la propriété et la gestion réelles » de l’entreprise. Le groupe prétendait disposer d’historiques de paiement des clients, d’achats et de transferts de domaines, ainsi que de mots de passe, d’informations d’identification et de boîtes aux lettres des employés. Le cache des données volées contient également des fichiers des serveurs Web internes de l’entreprise et des bases de données contenant des enregistrements de clients pour les domaines enregistrés auprès d’Epik.

Les pirates n’ont pas dit comment ils ont obtenu les données violées ni quand le piratage a eu lieu, mais les horodatages des fichiers les plus récents suggèrent que le piratage a probablement eu lieu fin février.

Epik a initialement déclaré aux journalistes qu’il n’était pas au courant d’une violation, mais un e-mail envoyé mercredi par le fondateur et directeur général Robert Monster a alerté les utilisateurs d’un « incident de sécurité présumé ».

TechCrunch a depuis appris qu’Epik avait été averti d’une faille de sécurité critique des semaines avant sa violation.

Le chercheur en sécurité Corben Leo a contacté le directeur général d’Epik, Monster via LinkedIn, en janvier, au sujet d’une faille de sécurité sur le site Web de l’hébergeur. Leo a demandé si l’entreprise avait une prime de bogue ou un moyen de signaler la vulnérabilité. LinkedIn a montré que Monster avait lu le message mais n’a pas répondu.

Leo a déclaré à TechCrunch qu’une bibliothèque utilisée sur la page WHOIS d’Epik pour générer des rapports PDF d’enregistrements du domaine public présentait une vulnérabilité vieille de dix ans qui permettait à quiconque d’exécuter du code à distance directement sur le serveur interne sans aucune authentification, comme un mot de passe d’entreprise.

« Vous pouvez simplement coller ceci [line of code] là-dedans et exécutez n’importe quelle commande sur…