Le Wall Street Journal rapporte qu’un groupe d’activistes luttant contre l’utilisation de l’intelligence artificielle dans l’industrie hollywoodienne a obtenu grâce à une cyberattaque importante, une grande quantité de données confidentielles de The Walt Disney Company via ses canaux Slack.
Une cyberattaque de Disney qui a engendré une fuite de plus d’un To de données
Les données des canaux Slack de The Walt Disney Company, un programme largement utilisé pour la communication au sein du groupe – couramment utilisé par des lieux de travail de toutes tailles, y compris les grandes entreprises comme la Walt Disney Company – ont fuité en ligne. Les informations divulguées comprennent des discussions sur les campagnes publicitaires, la technologie des studios et même les candidats aux entretiens, selon un nouveau rapport du Wall Street Journal.
Un groupe de hackers anonyme, se faisant appeler Nullbulge, a révélé dans un blog qu’il avait publié des données provenant de milliers de canaux Slack chez Disney, dont certaines comprenaient du code informatique et des détails sur des projets non publiés. Les rapports indiquent que les documents comprenaient également des conversations sur le site web de Disney, le développement de logiciels et les programmes destinés aux nouveaux dirigeants d’ESPN. Même des photos des chiens des employés ont fait surface avec cette fuite, les données remontant à 2019.
Nullbulge a également déclaré qu’il s’agissait d’extraits de descriptions de projets, de plans et de données de réservation et de revenus de Disneyland Paris. Nullbulge se présente comme un groupe hacktiviste qui défend les droits des artistes et choisit ses cibles en fonction d’un ensemble de valeurs sociales, économiques ou politiques. Un porte-parole du groupe a déclaré dans un message en ligne qu’il ciblait Disney « en raison de la façon dont [la société] gère les contrats des artistes, de son approche de l’intelligence artificielle et de son mépris assez flagrant pour le consommateur ». Le porte-parole a également déclaré que le groupe avait publié les données parce qu’il pensait que toute demande adressée à Disney serait inefficace, affirmant que « si nous disions ‘Bonjour Disney, nous avons toutes vos données Slack’, ils bloqueraient instantanément le système et essaieraient de nous éliminer. Dans un duel, mieux vaut tirer en premier. »
Un chercheur en sécurité nommé Eric Parker a suivi Nullbulge, expliquant que le groupe a commencé à prétendre en mai avoir accédé aux systèmes informatiques de Disney. Cependant, Eric Parker estime qu’il ne s’agit pas du travail d’un groupe, mais plutôt d’une seule personne : « Il ne le fait pas pour l’argent… Je pense qu’il s’agit d’un exercice pour attirer l’attention. »
Selon le groupe, les activites auraient accédé aux informations par l’intermédiaire d’un membre de la direction de Disney au sein du département de développement de logiciels, qu’ils ont compromis à deux reprises par des tactiques communément appelées cheval de Troie, en cachant un logiciel malveillant (dans ce cas) dans un module complémentaire de jeu vidéo, et une autre fois par une méthode non divulguée. Un porte-parole de Disney a déclaré que la société enquêtait actuellement sur l’affaire.
