Beberapa karyawan Target saat ini dan mantan karyawan Target telah menghubungi BleepingComputer untuk mengonfirmasi bahwa kode sumber dan dokumentasi yang dibagikan oleh pelaku ancaman secara online cocok dengan sistem internal yang sebenarnya.
Seorang karyawan saat ini juga berbagi komunikasi internal yang mengumumkan perubahan keamanan “dipercepat” yang membatasi akses ke server Enterprise Git Target, yang diluncurkan sehari setelah BleepingComputer pertama kali menghubungi perusahaan tentang dugaan kebocoran tersebut.
Karyawan memverifikasi keaslian materi yang bocor
Kemarin, BleepingComputer dilaporkan secara eksklusif bahwa peretas mengklaim menjual kode sumber internal Target setelah menerbitkan sampel repositori yang dicuri di Gitea, platform pengembangan perangkat lunak publik.
Sejak itu, berbagai sumber yang memiliki pengetahuan langsung tentang jaringan dan infrastruktur CI/CD internal Target telah menghubungi kami untuk memberikan informasi yang menguatkan keaslian data yang bocor.
Mantan karyawan Target mengonfirmasi bahwa nama sistem internal terlihat dalam sampel, seperti “BigRED” dan “TAP [Provisioning],” sesuai dengan platform nyata yang digunakan di perusahaan untuk penerapan dan orkestrasi aplikasi cloud dan on-premise.
Baik karyawan saat ini maupun mantan karyawan Target juga mengonfirmasi bahwa elemen tumpukan teknologi, termasuk kumpulan data Hadoop, yang dirujuk dalam sampel yang bocor, selaras dengan sistem yang digunakan secara internal.
Hal ini mencakup peralatan yang dibangun berdasarkan platform CI/CD yang disesuaikan berdasarkan Vela—sebuah fakta yang dimiliki Target juga disebutkan sebelumnya secara publikserta penggunaan infrastruktur rantai pasokan seperti JFrog Artifactory, juga terlihat dari intelijen bisnis pihak ketiga.
Para karyawan juga secara independen mereferensikan nama kode proyek dan pengidentifikasi taksonomi, seperti yang dikenal secara internal sebagai “ID bunga”, yang muncul dalam kumpulan data yang bocor.
Kehadiran referensi sistem, nama karyawan, nama proyek, dan URL yang cocok dalam sampel semakin mendukung bahwa materi tersebut mencerminkan lingkungan pengembangan internal yang nyata, bukan kode palsu atau generik.
Jika Anda adalah karyawan Target atau memiliki informasi apa pun sehubungan dengan acara ini, secara rahasia kirimkan tip kepada kami daring atau melalui Sinyal di @axsharma.01.
Target meluncurkan perubahan akses yang ‘dipercepat’
Seorang karyawan saat ini, yang meminta untuk tidak disebutkan namanya, juga membagikan tangkapan layar pesan Slack di seluruh perusahaan di mana manajer produk senior mengumumkan perubahan keamanan yang cepat, sehari setelah BleepingComputer menghubungi Target:
“Berlaku mulai 9 Januari 2026, akses ke git.target.com (Server Perusahaan GitHub lokal Target) sekarang memerlukan koneksi ke jaringan yang dikelola Target (baik di lokasi atau melalui VPN). Perubahan ini dipercepat dan selaras dengan cara kami menangani akses ke GitHub.com,” kata sang manajer.
Server Enterprise Git dapat menghosting repositori pribadi, yang hanya dapat dilihat oleh karyawan yang diautentikasi, dan proyek sumber terbuka publik.
Namun di Target, kode sumber terbuka umumnya dihosting di GitHub.comsedangkan git.target.com digunakan untuk pengembangan internal dan memerlukan otentikasi karyawan.
Seperti diberitakan kemarin, git.target.com dapat diakses melalui web hingga minggu lalu dan meminta karyawan untuk login. Kini git.target.com tidak lagi dapat dijangkau dari internet publik dan hanya dapat diakses dari jaringan internal Target atau VPN perusahaan, yang menunjukkan adanya penutupan akses ke lingkungan kode sumber milik perusahaan.
Kebocoran data, pelanggaran, atau keterlibatan orang dalam?
Penyebab utama bagaimana data tersebut sampai ke tangan pelaku ancaman masih belum diketahui.
Namun, peneliti keamanan Alon GalCTO dan salah satu pendiri Hudson Rock, mengatakan kepada BleepingComputer bahwa timnya telah mengidentifikasi stasiun kerja karyawan Target yang disusupi oleh malware infostealer pada akhir September 2025 dan memiliki akses luas ke layanan internal.
“Ada komputer karyawan Target yang baru-baru ini terinfeksi dengan akses ke IAM, Confluence, wiki, dan Jira,” kata Gal kepada BleepingComputer.
“Hal ini sangat relevan karena, meskipun ada puluhan karyawan Target yang terinfeksi, hampir tidak ada yang memiliki kredensial IAM dan tidak ada yang memiliki akses wiki, kecuali untuk satu kasus lainnya.”
Tidak ada konfirmasi bahwa infeksi ini berhubungan langsung dengan kode sumber yang sekarang diiklankan untuk dijual. Namun, tidak jarang pelaku ancaman mengambil data dan mencoba memonetisasi atau membocorkannya beberapa bulan kemudian. Misalnya saja geng ransomware Clop mulai memeras korbannya melalui ancaman kebocoran data pada bulan Oktober 2025 atas materi yang dicuri paling cepat bulan Juli tahun itu.
Pelaku ancaman mengklaim kumpulan data lengkap berukuran sekitar 860 GB. Meskipun BleepingComputer hanya meninjau sampel 14MB yang terdiri dari lima repositori parsial, karyawan mengatakan bahkan subset terbatas ini berisi kode internal asli dan referensi sistem, sehingga menimbulkan pertanyaan tentang cakupan dan sensitivitas isi arsip yang jauh lebih besar.
BleepingComputer membagikan tautan repositori Gitea dengan Target minggu lalu dan kemudian menawarkan untuk meneruskan temuan intelijen ancaman Hudson Rock untuk membantu penyelidikan. Perusahaan belum menanggapi pertanyaan lanjutan dan tetap bungkam apakah mereka sedang menyelidiki pelanggaran atau potensi keterlibatan orang dalam.
Lembar Cheat Keamanan Rahasia: Dari Sprawl hingga Control
Baik Anda membersihkan kunci lama atau menyetel pagar pembatas untuk kode yang dihasilkan AI, panduan ini membantu tim Anda membangun dengan aman sejak awal.
Dapatkan lembar contekan dan hilangkan dugaan tentang manajemen rahasia.
