Повторный взлом «Архива Интернета»: злоумышленники используют украденные токены доступа

2024-10-21 1518 комментарии
«Архива Интернета» (Internet Archive) вновь подвергся атаке, на этот раз через почтовую платформу поддержки Zendesk после многократных предупреждений о том, что злоумышленники украли токены аутентификации GitLab

В сети многие пользователи сообщают о том, что получили ответы на свои старые запросы на удаление данных из Internet Archive, предупреждающие, что организация подверглась взлому, так как не заменила украденные токены аутентификации.

В письме от злоумышленника говорится:

Разочаровывает, что даже после того, как они [разработчики Internet Archive] узнали о взломе несколько недель назад, они до сих пор не заменили многие API-ключи, которые были раскрыты в секретах GitLab.

Как доказывает это сообщение, затронут токен Zendesk с доступом к более 800 тысячам тикетов поддержки, отправленных на [email protected] с 2018 года.

Независимо от того, задавали ли вы общий вопрос или просили удалить ваш сайт из Wayback Machine, ваши данные теперь находятся в руках случайного человека. Если не у меня, то у кого-то другого.

Заголовки этих писем прошли проверки аутентификации DKIM, DMARC и SPF, что подтверждает их отправку через авторизованный сервер Zendesk с IP-адреса 192.161.151.10.

Один из получателей письма сообщил, что для запроса удаления страницы из Wayback Machine, нужно было загружать личные документы. Теперь злоумышленник, похоже, получил доступ к этим вложениям, в зависимости от того, какие API-права у него были к Zendesk и использовал ли он их для загрузки тикетов поддержки.

Администрацию «Архива Интернета» неоднократно предупреждали о том, что их исходный код был украден через токен аутентификации GitLab, который был открытым в сети почти два года.

Украденные токены аутентификации GitLab

9 октября стало известно, что Internet Archive подвергся двум разным атакам одновременно — утечке данных, где были украдены данные 33 миллионов пользователей сайта, и DDoS-атаке со стороны палестинской хакерской группы SN_BlackMeta.

Злоумышленник, ответственный за утечку данных, рассказал, что взлом начался с обнаружения открытого конфигурационного файла GitLab на одном из серверов организации, services-hls.dev.archive.org. Этот токен был доступен как минимум с декабря 2022 года, и с тех пор его несколько раз обновляли.

Злоумышленник утверждает, что этот конфигурационный файл GitLab содержал токен аутентификации, который позволил ему загрузить исходный код Internet Archive. Исходный код содержал дополнительные учетные данные и токены аутентификации, включая доступ к системе управления базами данных Internet Archive. Это позволило злоумышленнику скачать базу данных пользователей организации, дополнительный исходный код и модифицировать сайт.

Злоумышленник заявил, что украл 7 ТБ данных у Internet Archive, но не предоставил никаких доказательств.

Теперь известно, что украденные данные также включали API-токены доступа к системе поддержки Zendesk Internet Archive.

Взлом ради «киберпрестижа»

После взлома Internet Archive распространились теории заговора о том, почему организация была атакована. Некоторые утверждали, что это дело рук Израиля, правительства США или корпораций, ведущих борьбу с Internet Archive по вопросам авторских прав.

Однако взлом «Архива Интернета» не был связан с политикой или деньгами, а был совершен просто потому, что злоумышленник мог это сделать.

Существует большое сообщество людей, занимающихся торговлей украденными данными — для получения денег, шантажа жертвы, продажи другим злоумышленникам или просто ради коллекции.

Эти данные часто публикуются бесплатно, чтобы получить «киберпрестиж», повышая репутацию среди других злоумышленников, соревнующихся за самые крупные и публичные атаки.

В случае с «Архивом Интернета» не было смысла требовать выкуп, так как организация не является финансово привлекательной целью. Однако как широко известный и популярный сайт, взлом значительно повысил репутацию злоумышленника в сообществе.

Хотя никто публично не взял на себя ответственность за этот взлом, было установлено, что злоумышленник совершил его, находясь в групповом чате, и многие из участников чата получили часть украденных данных. Эта база данных, вероятно, уже распространяется среди других людей в сообществе, и в будущем мы, вероятно, увидим утечку на специализированных форумах, таких как Breached.

© . По материалам BleepingComputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте