Vodafone a Lapsus$ szivárogtatási oldalán
A Lapsus$ csoport sikeresen hozzáfért a Vodafone egy részének belső fejlesztői környezetéhez, és jelentős mennyiségű szoftverforráskódot, infrastruktúra-információt és GitHub-tárolóadatot szerzett meg. A Vodafone megerősítette, hogy 2026 márciusában egy bűnözői csoport jogosulatlan hozzáférést szerzett korlátozott számú forráskódfájlhoz, amelyeket később – sikertelen zsarolási kísérlet után – nyilvánosságra hoztak.
A Lapsus$ szivárogtató oldalán eredetileg akár 180 GB méretű adatcsomagról beszélt, amely állítólag teljes infrastruktúrát, forráskódokat, GitHub-repo struktúrákat és belső hálózati térképeket tartalmazott. A nyilvánosan elemzett adathalmaz mérete mintegy 7,1 GB, és több Vodafone-projekt – köztük a OnePortal és a Cyberhub – forráskódját, valamint tesztkörnyezeti komponenseit tartalmazta.
A kutatók szerint a kompromittálás valószínűleg egy belső GitHub-fiók eltérítésével történt. Az elemzés során több olyan fájlt is találtak, amelyekben hardcoded PostgreSQL-hitelesítő adatok szerepeltek. Bár a Vodafone szerint ügyféladatok nem kerültek ki, az ilyen hozzáférési adatok és konfigurációs információk jelentős másodlagos kockázatot jelentenek, mivel segítségükkel támadók feltérképezhetik a háttérrendszereket, vagy további jogosulatlan hozzáférést szerezhetnek.
Az incidens jól illeszkedik a Lapsus$ korábbi működési mintájába. A csoport elsősorban nem titkosításos zsarolóvírus-műveletekről ismert, hanem forráskódok, fejlesztői rendszerek, hitelesítő adatok és vállalati belső információk megszerzéséről, majd azok nyilvánosságra hozatalával történő zsarolásról. A Vodafone már 2022-ben is szerepelt a Lapsus$ célpontjai között. A kiszivárgott kód, infrastruktúra-leírások és hitelesítő adatok hosszú távon jelentősen megkönnyíthetik a további támadások előkészítését és a vállalati környezet mélyebb feltérképezését.
