Среди утекших сведений – подробности рекламных кампаний и корпоративных стратегий медиагиганта.
Поклонники видеоигры Club Penguin взломали сервер Confluence компании Disney и украли 2,5 ГБ внутренних корпоративных данных.
Club Penguin – это многопользовательская онлайн-игра, официально существовавшая с 2005 по 2017 год. Игроки могли участвовать в различных мини-играх, заниматься десятками видами деятельности и общаться друг с другом в виртуальном мире. Игра была создана компанией New Horizon Interactive, которую позже приобрела Disney.
Хотя официальное закрытие Club Penguin произошло в 2017 году, а её преемника Club Penguin Island — в 2018 году, игра продолжает жить на частных серверах, управляемых поклонниками и независимыми разработчиками.
Несмотря на значительные усилия Disney по закрытию более известного ремейка «Club Penguin Rewritten» в 2022 году, повлекшие арест нескольких человек по обвинению в нарушении авторских прав, это не помешало игре существовать дальше и активно развиваться.
В настоящее время Club Penguin используется игроками как своеобразная мета-вселенная, где можно встретиться и провести время в непринуждённой обстановке. Иногда в игре даже проводятся разнообразные концерты и фестивали.
На этой неделе на популярном западном форуме 4chan был опубликован анонимный пост со ссылкой на архив с названием «Internal Club Penguin PDFs» и сообщением «Мне это больше не нужно». Ссылка ведёт на архив размером 415 МБ, содержащий 137 PDF-файлов с внутренней информацией о Club Penguin, включая электронные письма, схемы дизайна, документацию и листы персонажей.
Все эти данные — весьма старые, им как минимум по семь лет, а может и больше. Это делает их интересными только для ярых поклонников игры. Однако, как выяснило издание BleepingComputer, данные Club Penguin составляют лишь небольшую часть гораздо большего набора данных, украденных с сервера Confluence компании Disney, где хранятся документы для различных внутренних проектов корпорации.
По данным анонимного источника, серверы Confluence были взломаны с использованием ранее скомпрометированных учётных данных. Злоумышленники изначально искали данные по Club Penguin, но в итоге скачали 2,5 ГБ информации о корпоративных стратегиях Disney, рекламных планах, Disney+, внутренних инструментах разработчиков, бизнес-проектах и внутренней инфраструктуре компании.
Источник сообщил журналистам следующее: «Здесь гораздо больше файлов, включая внутренние API-эндпоинты и учётные данные для таких вещей, как S3-хранилища».
Среди украденных данных есть документация по различным инициативам и проектам, а также информация о внутренних инструментах разработчиков, таких как Helios и Communicore, которые ранее не были публично раскрыты.
CommuniCore — это «высокопроизводительная асинхронная библиотека сообщений, предназначенная для использования в распределённых приложениях». Helios — инструмент для создания и воспроизведения шоу, который позволяет продюсерам и авторам Disney создавать интерактивные нелинейные сюжеты с использованием реальных данных от сенсоров в парках Disneyland.
В документах также содержатся ссылки на внутренние веб-сайты, используемые разработчиками Disney, что может представлять ценность для злоумышленников, желающих атаковать компанию.
Хотя данные Club Penguin довольно старые, остальные данные, циркулирующие сейчас по Discord, намного новее, включая информацию из 2024 года. Как сообщил источник, цифровое ограбление медиагиганта состоялось всего несколько недель назад.
Компания Disney пока никак не комментировала возможную утечку корпоративных данных из своих сетей.
Одно найти легче, чем другое. Спойлер: это не темная материя