Internet Archive пострада от нова хакерска атака
Докато хората, поддържащи Internet Archive се пробват да го вдигнат на крайници, незнайна страна отново хакна организацията. Този път това стана посредством изложени на достъп автентикационни токени на Archive.org за GitLab и платформата за обслужване на поръчки на уеб страницата Zendesk.
Преди 10 дни ви съобщихме за две поредни офанзиви към Internet Archive. Неизвестна страна е съумяла да открадне база данни на уеб страницата, съдържаща информацията на 31 000 000 регистрирани потребителя. Същата страна компрометира и самия уебсайт на Internet Archive (IA). При достъп до страницата, консуматори са почнали да виждат известие за хакерска офанзива, инжектирано от самите хакери. Дали в координирана офанзива или без значение от първия случай, хактивистка група стартира да организира DDoS офанзиви към уеб страницата. 11 дни откакто стана ясно за случая, Archive.org към момента не работи. Другите услуги и страници, свързани с плана са дейни. А в този момент имаме нов случай.
BleepingComputer предава, че в последните дни голям брой хора, употребявали преди Zendesk за връзка с екипа по поддръжка са почнали да получават странни известия. В тях пишело, че организацията е компрометирана отново, тъй като не са трансформирали откраднатите автентикационни токени.
„ Обезсърчаващо е да видиш по какъв начин, въпреки и да бяха осведомени преди седмици, Internet Archive не са се постарали да създадат ротация на доста от API ключовете, които бяха изложени в GitLab тайните им “, пишат хакерите в писмата, разпратени до жертвите на новата офанзива. Това е разрешило да доближат до Zendesk токени, осигуряващи им достъп до персоналните им данни. Става дума за над 800 000 потребителски поръчки, които [email protected] е обслужил от 2018 до в този момент. „ Дали сте задавали общ въпрос или сте желали уеб страницата ви да бъде махнат от Wayback Machine, данните ви в този момент са в ръцете на някакъв инцидентен човек. Ако не бях аз, щеше да е някой различен “.
Разглеждайки метаданните на изпратените писма, Bleeping откриват, че те са изпратени от авторизиран Zendesk сървър. Отделно от това, в случаите, в които някой е желал свалянето на уебсайт от Wayback Machine, той е трябвало да удостовери самоличността си в допълнение. Ако става дума за опортюнистична офанзива, целяща да покаже само грешките на IA, това надали ще е проблем. Но в случай че това е финансово стимулиран удар, организацията има сериозен проблем. И освен тя.
„ Тези имейли идват откакто BleepingComputer неведнъж се опита да предизвести Internet Archive, че изходният им код е изложен намерено. Това се е случило посредством автентикационният им токен за GitLab, който е бил изложен в открит тип онлайн преди две години “, написа Лорънс Абрамс от уеб страницата на Bleeping. Той дава и любопитна спомагателна информация по случилото се.
Когато ви предадохме за първия пробив, въпросителната беше дали кражбата и DDoS офанзивите са свързани. Изглежда, че значително медии са свързали двете офанзиви. Но те не са. Явно създателят на първата се е почувствал обиден от тези репортажи и се е свързал с Bleeping за обяснение.
Хакерът (или хакерите) изясняват за Bleeping, че първичния пробив се е случил, с помощта на изложен беззащитен GitLab конфигурационен файл. Той се е намирал в един от сървърите за разработка на организацията.
Достъпът до този файл разрешава на атакуващата страна да смъкна изходния код на Internet Archive. Той съдържал спомагателни авторизационни токени и записи за регистриране в системата за ръководство въз основата данни. Хакерът твърди, че общия размер от информация, която той е съумял да смъкна е в размер на 7TB. А в този момент най-важният въпрос – повода за офанзивата.
След новината за случая в интернет пространството се появяват голям брой спекулации, написа Лорънс. От огромни издатели и корпорации, които от дълго време са взели под прицел Internet Archive до политически стимулирана страна. За страдание очевидно не става дума за самарянин, който просто желае Internet Archive да се грижи за сигурността. Bleeping са научили, че хакерът е взел участие в колективен чат по време на дейностите си и е споделял данни.
„ Тази база данни сега евентуално се търгува с други хора в ъндърграунд пространството “, написа Лорънс. „ И е евентуално да я забележим пусната свободно в бъдеще в хакерски конгреси, като Breached “.
