Red Hot Cyber

Cybersecurity is about sharing. Recognize the risk, combat it, share your experiences, and encourage others to do better than you.
Search

Rivendicato un databreach a Deloitte: credenziali GitHub e codice sorgente finiscono sul dark web

Luca Stivali : 30 May 2025 18:37

Un attacco informatico ai danni di Deloitte è stato rivendicato dal threat actor “303”, che ha pubblicato su un noto forum underground un post con il titolo inequivocabile: “Deloitte.com Source Code + Internal GitHub Credentials – leaked, download!”.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Nel messaggio, il threat actor afferma di aver compromesso i sistemi di Deloitte e condivide un estratto del file .git/config di un repository privato, che include un token Personal Access Token (PAT) di GitHub e riferimenti diretti a progetti interni della divisione US Consulting.

Il materiale divulgato comprende:

  • Credenziali interne GitHub nel formato PAT
  • Link a repository privati come US-Consulting-NBI/dep-landing-page

Qualora l’esfiltrazione dei dati fosse reale, si tratterebbe di una esposizione estremamente critica per almeno tre motivi:

  1. Il token GitHub potrebbe essere attivo: se non revocato rapidamente, può garantire accesso in scrittura a repository interni, consentendo esfiltrazione o iniezione di codice dannoso;
  2. Violazione della supply chain: se uno di questi repository è usato per il deployment di codice presso clienti Deloitte, si apre lo scenario di compromissione indiretta della supply chain;
  3. Errori di gestione: l’inclusione di PAT direttamente nel file .git/config è una grave violazione delle best practice di sicurezza.

Contesto: Deloitte e la cybersecurity

Negli ultimi mesi si è registrata un’escalation di attacchi mirati a repository GitHub e server GitLab esposti e non adeguatamente protetti. Diverse vulnerabilità sono state oggetto di exploit attivi, con numerose segnalazioni pubblicate dal CSIRT nazionale e da agenzie internazionali di cybersecurity. In particolare, nel panorama degli attacchi a GitLab, uno dei gruppi più attivi è “Fog“, che attraverso il proprio Data Leak Site (DLS) ha reso pubblici fino a dieci casi di compromissione al giorno, includendo anche enti di ricerca italiani tra le vittime.

Deloitte non è nuova a incidenti di sicurezza:

  • Nel 2017 subì un attacco tramite un account amministrativo sprovvisto di 2FA, che portò alla compromissione di email e dati di clienti governativi.
  • Nel dicembre 2024, il gruppo ransomware Brain Cipher rivendicò il furto di 1 TB di dati da Deloitte; la società negò la compromissione interna.

In attesa di una presa di posizione ufficiale da parte di Deloitte, l’episodio sottolinea ancora una volta l’importanza della sicurezza shift-left, della gestione sicura delle credenziali e della necessità di audit costanti sugli ambienti di sviluppo e collaborazione.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

Luca Stivali
Cyber Security Enthusiast and entrepreneur in the IT industry for 25 years, expert in network design and management of complex IT systems. Passion for a proactive approach to cyber security: understanding how and what to protect yourself from is crucial.

Lista degli articoli