Internet Archive снова взломали с помощью украденных токенов доступа

Internet Archive снова взломали, на этот раз через платформу поддержки электронной почты Zendesk. Ранее злоумышленники украли открытые токены аутентификации GitLab.

Теперь они стали рассылать пользователям письма с уведомлением о взломе. «Удручает то, что даже после сообщения о взломе несколько недель назад IA до сих пор не проявила должной осмотрительности и не провела ротацию многих ключей API, которые были раскрыты в GitLab», — говорится в электронном письме от злоумышленника. Использованный им токен Zendesk даёт разрешения на доступ к более чем 800 тыс. тикетов поддержки, отправленных на [email protected] с 2018 года.

Заголовки писем неизвестного проходят все проверки подлинности DKIM, DMARC и SPF, и это доказывает, что они были отправлены авторизованным сервером Zendesk по адресу 192.161.151.10. Получатель письма сообщил BleepingComputer, что ему необходимо загрузить персональные идентификационные данные при запросе удаления страницы из Wayback Machine.

В начале октября IA подвергся двум разным атакам одновременно — в ходе одной из них произошла кража данных 31 млн пользователей сайта, а вторая выглядела как DDoS, её провела пропалестинская группа SN_BlackMeta. Эти атаки совершили разные злоумышленники, но многие СМИ неверно приписали их SN_BlackMeta. Вероятно, это разочаровало хакера, стоящего за утечкой. Он связался с BleepingComputer через посредника, чтобы взять на себя ответственность за атаку и объяснить, как взломали Internet Archive.

Злоумышленник сообщил BleepingComputer, что он обнаружил раскрытый файл конфигурации GitLab на одном из серверов разработки организации, services-hls.dev.archive.org. Токен был раскрыт по крайней мере с декабря 2022 года, и с тех пор он менялся несколько раз. Злоумышленник утверждает, что этот файл конфигурации GitLab содержал токен аутентификации, позволяющий ему загружать исходный код Internet Archive. Исходный код дополнительно содержал учётные данные, в том числе для системы управления базами данных Internet Archive. Это позволило хакеру загрузить базу данных пользователей организации, дополнительный исходный код и изменить сайт.

Злоумышленник утверждал, что украл 7 ТБ данных из Internet Archive, но не предоставил никаких образцов в качестве доказательства. Теперь выяснилось, что они включали токены доступа API для системы поддержки Zendesk.

В Internet Archive так и не отреагировали на сообщения BleepingComputer.

О взломе Internet Archive стало известно 9 октября. Тогда посетители сайта archive.org увидели уведомления от злоумышленников, в котором говорилось о взломе площадки. Позднее основатель Have I Been Pwned Трой Хант сообщил, что в его распоряжение попал файл с украденными данными пользователей. Последняя запись в базе датирована 28 сентября 2024 года. Злоумышленникам удалось похитить данные 31 млн пользователей сервиса, включая логины, адреса электронной почты и пароли в зашифрованном виде.

К 14 октября Internet Archive возобновил работу в режиме read-only и только для сервиса Wayback Machine. Пользователи пока не могут добавлять новые страницы в архив.

Опубликовать в twitter.com

Обсуждения закрыты для данной страницы