Το Internet Archive παραβιάστηκε ξανά (αυτή τη φορά στην πλατφόρμα υποστήριξης email Zendesk), αφού οι επιτιθέμενοι είχαν κλέψει εκτεθειμένα GitLab authentication tokens.
Λέγεται ότι ο οργανισμός παραβιάστηκε καθώς δεν έκανε σωστό token rotation, στα κλεμμένα authentication tokens.
“Είναι απογοητευτικό να βλέπεις ότι ενώ ενημερώθηκε για την παραβίαση πριν από εβδομάδες, το IA δεν έχει λάβει τα δέοντα μέτρα για να κάνει rotation πολλών API keys που αποκαλύφθηκαν στα gitlab secrets τους“, αναφέρουν οι επιτιθέμενοι σε ένα email.
“Όπως αποδεικνύεται από αυτό το μήνυμα, υπάρχει ένα Zendesk token με άδειες πρόσβασης σε 800.000+ support tickets που αποστέλλονται στο info@archive.org από το 2018“.
Phishing: Hackers διανέμουν fileless έκδοση του Remcos RAT
Το ρομπότ Ai-Da "πούλησε" πίνακά του για $ 1,3 εκατ.
H Newpark Resources χτυπήθηκε από Ransomware
Δείτε επίσης: USDoD: Συνελήφθη ο hacker πίσω από την παραβίαση της National Public Data
“Είτε προσπαθείτε να κάνετε μια γενική ερώτηση είτε ζητάτε την κατάργηση του ιστότοπού σας από το Wayback Machine, τα δεδομένα σας βρίσκονται πλέον στα χέρια κάποιου τυχαίου τύπου. Αν όχι στα δικά μου, σε κάποιου άλλου“.
Τα email headers σε αυτά τα email περνούν όλους τους ελέγχους ταυτότητας DKIM, DMARC και SPF, αποδεικνύοντας ότι στάλθηκαν από εξουσιοδοτημένο διακομιστή Zendesk στη διεύθυνση 192.161.151.10.
Όπως ενημερώθηκε το BleepingComputer, ένας από τους παραλήπτες αυτών των emails είπε ότι έπρεπε να ανεβάσει την προσωπική του ταυτότητα, όταν ζητούσε την αφαίρεση μιας σελίδας από το Wayback Machine.
Οι επιτιθέμενοι μπορεί τώρα να έχουν πρόσβαση και σε αυτά τα συνημμένα, ανάλογα με την πρόσβαση API που είχαν στο Zendesk.
Αυτά τα emails έρχονται αφότου το BleepingComputer προσπάθησε επανειλημμένα να προειδοποιήσει το Internet Archive ότι ο source code του κλάπηκε μέσω ενός GitLab authentication token που εκτέθηκε στο διαδίκτυο για σχεδόν δύο χρόνια.
Εκτέθηκαν GitLab authentication tokens
Στις 9 Οκτωβρίου, το BleepingComputer ανέφερε ότι το Internet Archive επλήγη από δύο διαφορετικές επιθέσεις: μια παραβίαση δεδομένων που επηρέασε 33 εκατομμύρια χρήστες και μια επίθεση DDoS από μια φιλοπαλαιστινιακή ομάδα με το όνομα SN_BlackMeta.
Δείτε επίσης: Η Intesa ερευνάται για παραβίαση δεδομένων από πρώην υπάλληλο
Ενώ και οι δύο επιθέσεις πραγματοποιήθηκαν την ίδια περίοδο, πραγματοποιήθηκαν από διαφορετικές hacking ομάδες. Πολλοί ανέφεραν ότι ήταν οι ίδιοι επιτιθέμενοι. Ωστόσο, η ομάδα SN_BlackMeta βρισκόταν πίσω από την επίθεση DDoS.
Ο επιτιθέμενος πίσω από την πραγματική παραβίαση δεδομένων του Internet Archive επικοινώνησε με το BleepingComputer, μέσω ενός μεσάζοντα, για να αναλάβει την ευθύνη. Σύμφωνα με τα λεγόμενά του, η αρχική παραβίαση του Internet Archive ξεκίνησε με την εύρεση ενός εκτεθειμένου GitLab configuration file σε έναν από τους development servers του οργανισμού (services-hls.dev.archive.org). Το BleepingComputer επιβεβαίωσε ότι αυτό το token είχε εκτεθεί τουλάχιστον από τον Δεκέμβριο του 2022.
Ο παράγοντας απειλών λέει ότι αυτό το GitLab configuration file περιείχε ένα authentication token που του επέτρεπε να κατεβάσει τον source code του Internet Archive.
Ο hacker λέει ότι αυτός ο source code περιείχε πρόσθετα διαπιστευτήρια και authentication tokens, συμπεριλαμβανομένων credentials για το σύστημα διαχείρισης βάσεων δεδομένων του Internet Archive. Αυτό επέτρεψε στον παράγοντα απειλής να πραγματοποιήσει λήψη της βάσης δεδομένων χρηστών του οργανισμού και περαιτέρω source code, ενώ ήταν σε θέση να τροποποιήσει και τον ιστότοπο.
Ο επιτιθέμενος ισχυρίστηκε ότι είχε κλέψει 7 TB δεδομένων από το Internet Archive, αλλά δεν κοινοποίησε κανένα δείγμα ως απόδειξη. Ωστόσο, τώρα γνωρίζουμε ότι τα κλεμμένα δεδομένα περιλάμβαναν επίσης τα API access tokens για το σύστημα υποστήριξης Zendesk του Internet Archive.
Μετά την παραβίαση του Internet Archive, έχουν εμφανιστεί πολλές θεωρίες συνωμοσίας. Κάποιοι είπαν ότι το έκανε το Ισραήλ, άλλοι η κυβέρνηση των Ηνωμένων Πολιτειών, ενώ άλλοι είπαν ότι το έκαναν εταιρείες λόγω της μάχης τους με το Internet Archive για παραβίαση πνευματικών δικαιωμάτων.
Δείτε επίσης: Τα Gryphon Healthcare και Tri-City αποκαλύπτουν σημαντικές παραβιάσεις
Ωστόσο, το Internet Archive δεν φαίνεται να παραβιάστηκε για πολιτικούς λόγους. Υπάρχουν πολλοί hackers που διακινούν κλεμμένα δεδομένα. Μπορεί να εκβιάζουν το θύμα για χρήματα, να πωλούν δεδομένα σε άλλους παράγοντες απειλών ή απλώς να συλλέγουν δεδομένα για άλλες επιθέσεις.
Στην περίπτωση του Internet Archive, οι επιτιθέμενοι μάλλον ήθελαν να ενισχύσουν τη φήμη τους στην κοινότητα του κυβερνοεγκλήματος, επειδή πρόκειται για έναν δημοφιλή οργανισμό.
Η βάση δεδομένων, που έχει διαρρεύσει, μπορεί τώρα να ανταλλάσσεται μεταξύ κυβερνοεγκληματιών και πιθανότατα θα τη δούμε να κυκλοφορεί δωρεάν σε κάποιο hacking φόρουμ.
Η παραβίαση του Internet Archive υπογραμμίζει τη σημασία της διατήρησης καλών πρακτικών ασφάλειας στον κυβερνοχώρο και της επίγνωσης των πιθανών κινδύνων ασφαλείας κατά τη χρήση διαδικτυακών υπηρεσιών. Αυτό το περιστατικό χρησιμεύει ως υπενθύμιση ότι κανένας ιστότοπος ή υπηρεσία δεν είναι πλήρως απρόσβλητος από επιθέσεις στον κυβερνοχώρο και είναι σημαντικό για τα άτομα να λάβουν ενεργά μέτρα για την προστασία των προσωπικών τους δεδομένων.
Sites όπως το Internet Archive θα πρέπει να φροντίζουν για την προστασία των δεδομένων των χρηστών ενημερώνοντας τακτικά τα πρωτόκολλα ασφαλείας τους και εφαρμόζοντας μέτρα όπως η κρυπτογράφηση και οι τακτικοί έλεγχοι ασφαλείας.
Πηγή: www.bleepingcomputer.com