Internet Archive снова взломали, на этот раз через платформу поддержки электронной почты Zendesk. Ранее злоумышленники украли открытые токены аутентификации GitLab.
bleepingcomputer.com
Теперь они стали рассылать пользователям письма с уведомлением о взломе. «Удручает то, что даже после сообщения о взломе несколько недель назад IA до сих пор не проявила должной осмотрительности и не провела ротацию многих ключей API, которые были раскрыты в GitLab», — говорится в электронном письме от злоумышленника. Использованный им токен Zendesk даёт разрешения на доступ к более чем 800 тыс. тикетов поддержки, отправленных на info@archive.org с 2018 года.
Заголовки писем неизвестного проходят все проверки подлинности DKIM, DMARC и SPF, и это доказывает, что они были отправлены авторизованным сервером Zendesk по адресу 192.161.151.10. Получатель письма сообщил BleepingComputer, что ему необходимо загрузить персональные идентификационные данные при запросе удаления страницы из Wayback Machine.
bleepingcomputer.com
В BleepingComputer неоднократно пытались предупредить Internet Archive о том, что их исходный код был украден с помощью токена аутентификации GitLab, который был доступен в сети в течение почти двух лет.
bleepingcomputer.com
В начале октября IA подвергся двум разным атакам одновременно — в ходе одной из них произошла кража данных 31 млн пользователей сайта, а вторая выглядела как DDoS, её провела пропалестинская группа SN_BlackMeta. Эти атаки совершили разные злоумышленники, но многие СМИ неверно приписали их SN_BlackMeta. Вероятно, это разочаровало хакера, стоящего за утечкой. Он связался с BleepingComputer через посредника, чтобы взять на себя ответственность за атаку и объяснить, как взломали Internet Archive.
Злоумышленник сообщил BleepingComputer, что он обнаружил раскрытый файл конфигурации GitLab на одном из серверов разработки организации, services-hls.dev.archive.org. Токен был раскрыт по крайней мере с декабря 2022 года, и с тех пор он менялся несколько раз. Злоумышленник утверждает, что этот файл конфигурации GitLab содержал токен аутентификации, позволяющий ему загружать исходный код Internet Archive. Исходный код дополнительно содержал учётные данные, в том числе для системы управления базами данных Internet Archive. Это позволило хакеру загрузить базу данных пользователей организации, дополнительный исходный код и изменить сайт.
Злоумышленник утверждал, что украл 7 ТБ данных из Internet Archive, но не предоставил никаких образцов в качестве доказательства. Теперь выяснилось, что они включали токены доступа API для системы поддержки Zendesk.
В Internet Archive так и не отреагировали на сообщения BleepingComputer.
О взломе Internet Archive стало известно 9 октября. Тогда посетители сайта archive.org увидели уведомления от злоумышленников, в котором говорилось о взломе площадки. Позднее основатель Have I Been Pwned Трой Хант сообщил, что в его распоряжение попал файл с украденными данными пользователей. Последняя запись в базе датирована 28 сентября 2024 года. Злоумышленникам удалось похитить данные 31 млн пользователей сервиса, включая логины, адреса электронной почты и пароли в зашифрованном виде.
К 14 октября Internet Archive возобновил работу в режиме read-only и только для сервиса Wayback Machine. Пользователи пока не могут добавлять новые страницы в архив.
Источник: habr.com