Σοβαρή παραβίαση δεδομένων φέρεται να έχει πλήξει το WIRED, καθώς χάκερ υποστηρίζουν ότι διέρρευσαν βάση δεδομένων με περισσότερα από 2,3 εκατομμύρια αρχεία συνδρομητών, προκαλώντας έντονη ανησυχία για την ασφάλεια προσωπικών δεδομένων στον όμιλο Condé Nast, στον οποίο ανήκει το περιοδικό.
Ο απειλητικός παράγοντας με το ψευδώνυμο «Lovely» υποστηρίζει ότι η διαρροή είναι μόνο η αρχή και απειλεί με δημοσιοποίηση έως και 40 εκατομμυρίων επιπλέον εγγραφών από άλλα γνωστά brands, όπως τα Vogue, The New Yorker, Vanity Fair, GQ και Architectural Digest.
Τι περιλαμβάνει η διαρροή δεδομένων
Το πακέτο δεδομένων εμφανίστηκε σε hacking forums όπως τα Breach Stars και BreachForums τα Χριστούγεννα του 2025 και περιλαμβάνει περίπου 2,3 εκατομμύρια email, 285.936 ονόματα, 102.479 ταχυδρομικές διευθύνσεις και 32.426 αριθμούς τηλεφώνου. Τα αρχεία είναι σε μορφή JSON και περιέχουν user IDs, ημερομηνίες δημιουργίας λογαριασμών από το 2011 έως το 2022, καθώς και δραστηριότητα έως τις 8 Σεπτεμβρίου 2025.
Ερευνητές της Hudson Rock επιβεβαίωσαν τη γνησιότητα των δεδομένων, διασταυρώνοντάς τα με logs από RedLine και Raccoon infostealers, εντοπίζοντας υψηλό ποσοστό αντιστοίχισης με παραβιασμένα διαπιστευτήρια.
Πώς έγινε η επίθεση
Σύμφωνα με την ανάλυση, οι επιτιθέμενοι εκμεταλλεύτηκαν Insecure Direct Object References (IDOR), «σκανάροντας» διαδοχικά user IDs και εξάγοντας μαζικά προφίλ. Τα σπασμένα access controls επέτρεπαν μη αυθεντικοποιημένη πρόσβαση σε endpoints λογαριασμών, δίνοντας τη δυνατότητα ανάγνωσης και τροποποίησης email, passwords και προσωπικών στοιχείων.
Παρότι δεν περιλαμβάνονται κωδικοί ή στοιχεία πληρωμών στο αρχικό dump, η έκθεση PII δημιουργεί σοβαρούς κινδύνους για phishing, doxing και swatting.
Σιωπή και ανησυχία για κλιμάκωση
Τον Νοέμβριο του 2025, ο «Lovely» είχε επικοινωνήσει με το DataBreaches.net, παριστάνοντας τον ερευνητή «Dissent Doe», προκειμένου να ειδοποιήσει την Condé Nast για έξι ευπάθειες. Παρά τις επανειλημμένες προσπάθειες, δεν υπήρξε δημόσια απάντηση, ούτε διαθέσιμο security.txt.
Η διαρροή καταγράφηκε ήδη σε υπηρεσίες όπως το Have I Been Pwned, ενώ ειδικοί προειδοποιούν ότι, λόγω του κοινού συστήματος ταυτοποίησης της Condé Nast, η ζημιά μπορεί να επεκταθεί σε πολλαπλές πλατφόρμες. Οι χρήστες καλούνται να αλλάξουν κωδικούς και να παρακολουθούν στενά τη δραστηριότητά τους, καθώς το περιστατικό αναδεικνύει τα σοβαρά κενά στη διαχείριση ευπαθειών μεγάλων εκδοτικών ομίλων.