Internet Archive a fost din nou victima unui breach de securitate, de data aceasta pe platforma lor de suport prin email Zendesk, după avertismente repetate că actorii de amenințare au furat token-uri de autentificare expuse de pe GitLab.
Începând de aseară, BleepingComputer a primit numeroase mesaje de la persoane care au primit răspunsuri la solicitările lor vechi de eliminare de pe Internet Archive, avertizând că organizația a fost compromisă deoarece nu și-a rotit corect token-urile de autentificare furate.
„Este descurajant să vedem că chiar și după ce au fost informați despre breach săptămâni în urmă, IA încă nu a făcut diligenta necesară de a roti multe dintre cheile API care au fost expuse în secretele lor GitLab”, se arată într-un email de la actorul de amenințare.
„Așa cum este demonstrat de acest mesaj, acest lucru include un token Zendesk cu permisiuni de acces la peste 800.000 de tichete de suport trimise la [email protected] din 2018.”
„Fie că încercați să adresați o întrebare generală sau să solicitați eliminarea site-ului dvs. din Wayback Machine, datele dvs. se află acum în mâinile unui tip oarecare. Dacă nu eu, ar fi fost altcineva.”
Capetele de email în aceste mesaje trec și de toate verificările de autentificare DKIM, DMARC și SPF, demonstrând că au fost trimise de un server Zendesk autorizat la 192.161.151.10.
Aceste emailuri vin după ce BleepingComputer a încercat repetat să avertizeze Internet Archive că codul lor sursă a fost furat printr-un token de autentificare GitLab expus online de aproape doi ani.
Pe 9 octombrie, BleepingComputer a raportat că Internet Archive a fost lovit de două atacuri diferite în aceeași săptămână – un breach de date în care datele utilizatorilor site-ului pentru 33 de milioane de utilizatori au fost furate și un atac DDoS de către un grup pro-palestinian numit SN_BlackMeta.
Deși ambele atacuri au avut loc în aceeași perioadă, ele au fost efectuate de actori de amenințare diferiți. Cu toate acestea, multe surse au raportat incorect că SN_BlackMeta era în spatele breach-ului, mai degrabă decât doar atacurile DDoS.
Acest raport incorect a frustrat actorul de amenințare din spatele breach-ului real de date, care a contactat BleepingComputer printr-un intermediar pentru a revendica creditul pentru atac și a explica cum au compromis Internet Archive.
Actorul de amenințare le-a spus celor de la BleepingComputer că breach-ul inițial al Internet Archive a început cu găsirea unui fișier de configurare GitLab expus pe unul dintre serverele de dezvoltare ale organizației, services-hls.dev.archive.org.
BleepingComputer a putut confirma că acest token a fost expus cel puțin din decembrie 2022, fiind rotit de mai multe ori de atunci.
Actorul de amenințare spune că acest fișier de configurare GitLab conținea un token de autentificare care le-a permis să descarce codul sursă al Internet Archive.
Hackerul susține că acest cod sursă conținea și alte credențiale și token-uri de autentificare, inclusiv credențialele pentru sistemul de gestionare a bazei de date a Internet Archive. Acest lucru i-a permis actorului de amenințare să descarce baza de date a utilizatorilor organizației, mai mult cod sursă și să modifice site-ul.
Actorul de amenințare a pretins că a furat 7TB de date de la Internet Archive, dar nu a furnizat niciun eșantion ca dovadă.
Însă acum știm că datele furate includ și token-urile de acces API pentru sistemul de suport Zendesk al Internet Archive.
BleepingComputer a încercat să contacteze de mai multe ori Internet Archive, cel mai recent vineri, oferindu-se să împărtășească ceea ce știau despre modul în care s-a produs breach-ul și de ce s-a întâmplat, dar nu am primit niciodată un răspuns.
După ce Internet Archive a fost compromis, au apărut teorii ale conspirației despre de ce au fost atacați.
Unii au spus că Israelul a făcut-o, guvernul Statelor Unite sau corporațiile în lupta lor continuă cu Internet Archive asupra încălcării drepturilor de autor.
Cu toate acestea, Internet Archive nu a fost compromis din motive politice sau financiare, ci pur și simplu pentru că actorul de amenințare putea să o facă.
Există o comunitate mare de persoane care trafichează date furate, fie că o fac pentru bani prin șantajarea victimelor, vânzarea lor altor actori de amenințare sau pur și simplu pentru că sunt colecționari de breach-uri de date.
Aceste date sunt adesea eliberate gratuit pentru a câștiga credibilitate în mediul online, crescându-și reputația printre ceilalți actori de amenințare din această comunitate, deoarece toți concurează pentru a vedea cine are cele mai mari și cele mai publicizate atacuri.
În cazul Internet Archive, nu erau bani de făcut prin încercarea de a șantaja organizația. Cu toate acestea, fiind un site web bine cunoscut și extrem de popular, cu siguranță a sporit reputația unei persoane în această comunitate.
Deși nimeni nu a revendicat public acest breach, BleepingComputer a fost informat că s-a produs în timp ce actorul de amenințare era într-o discuție de grup cu alții, mulți primind o parte din datele furate.
Această bază de date este acum probabil comercializată între alte persoane din comunitatea de breach-uri de date, iar probabil vom vedea că va fi scursă gratuit în viitor pe forumuri de hacking precum Breached.
Internet Archive, compromis de securitate, afectează 31 de milioane de utilizatori
Cisco își închide portalul DevHub după ce hackerul publică datele furate
Gigantul tech Nidec confirmă breach-ul de date după un atac de ransomware
Ransomware-ul BianLian pretinde un atac asupra Boston Children’s Health Physicians
Hackerii șantajează Globe Life după ce fură datele clienților
Leave a Reply