Отново хакнаха Internet Archive с помощта на откраднати токени за достъп

Internet Archive отново бе хакнат, този път чрез платформата за поддръжка на електронна поща Zendesk. Преди това хакерите са откраднали публичните токени за удостоверяване в GitLab.

Хакерите вече започнаха да изпращат имейли на потребителите, с които ги уведомяват за хакерската атака. „Разочароващо е, че дори след като докладваха за хакването преди няколко седмици, IA все още не е извършила необходимата проверка и не е подменила много от API ключовете, които са били изложени на риск в GitLab“, се казва в имейл от един от нападателите. Токенът на Zendesk, който той е използвал, дава права за достъп до повече от 800 000 талона за услугата, изпращани на адрес info@archive.org от 2018 г. насам.

Заглавията на имейлите към фиктивното лице Джон Доу преминават всички проверки за автентификация - DKIM, DMARC и SPF, което доказва, че са изпратени от оторизиран сървър на Zendesk с IP адрес 192.161.151.10. Получателят на имейла съобщи на изданието BleepingComputer, че при искане за премахване на страница от Wayback Machine трябва да се качат лични идентификационни данни.

Интересно е, че BleepingComputer многократно се опитваше да предупреди Internet Archive, че техният изходен код е бил откраднат с помощта на токен за удостоверяване в GitLab, който е бил достъпен онлайн от близо две години.

В началото на октомври IA претърпя две различни атаки по едно и също време - при първата бяха откраднати данните на 31 милиона потребители на сайта, а втората атака, която приличаше на DDoS, уж беше извършена от пропалестинската група SN_BlackMeta. Тези атаки бяха извършени от различни нападатели, но много медии неправилно ги приписаха на SN_BlackMeta. Това вероятно е разочаровало хакера, който стои зад изтичането на тази информация. Той се е свързал с BleepingComputer чрез посредник, за да поеме отговорността за атаката и да обясни как е бил хакнат Internet Archive.

Нападателят е казал на BleepingComputer, че е открил открит конфигурационен файл на GitLab в един от сървърите за програмиране на организацията - services-hls.dev.archive.org. Токенът е бил разкрит поне още от декември 2022 г., като оттогава се е променял няколко пъти. Хакерът заяви, че този конфигурационен файл на GitLab е съдържал токен за удостоверяване, който му е дал възможност да изтегли изходния код на Internet Archive. Изходният код допълнително е съдържал идентификационни данни, включително за системата за управление на базите данни на Internet Archive. Това позволило на хакера да изтегли потребителската база данни на организацията, допълнителен изходен код и дори да модифицира уеб сайта.

Хакерът допълва, че е откраднал 7 TB данни от Internet Archive, но поне засега не е предоставил никакви образци като доказателство. Но вече стана ясно, че те са включвали токени за достъп до API на системата за поддръжка Zendesk.

За хакерската атака срещу Internet Archive стана известно на 9 октомври. Тогава посетителите на сайта archive.org видяха известия от нападателите, в които се посочваше, че сайтът е бил хакнат. По-късно основателят на сайта Have I Been Pwned Трой Хънт заяви, че е получил файл с откраднати потребителски данни. Последният запис в базата данни е с дата 28 септември 2024 г. Хакерите са успели да откраднат данните на 31 милиона потребители на услугата, включително регистрационните данни, имейл адресите, имената и паролите в криптиран вид.