Internet Archive снова взломали, на этот раз через платформу поддержки электронной почты Zendesk. Ранее злоумышленники украли открытые токены аутентификации GitLab.
Теперь они стали рассылать пользователям письма с уведомлением о взломе. «Удручает то, что даже после сообщения о взломе несколько недель назад IA до сих пор не проявила должной осмотрительности и не провела ротацию многих ключей API, которые были раскрыты в GitLab», — говорится в электронном письме от злоумышленника. Использованный им токен Zendesk даёт разрешения на доступ к более чем 800 тыс. тикетов поддержки, отправленных на info@archive.org с 2018 года.
Заголовки писем неизвестного проходят все проверки подлинности DKIM, DMARC и SPF, и это доказывает, что они были отправлены авторизованным сервером Zendesk по адресу 192.161.151.10. Получатель письма сообщил BleepingComputer, что ему необходимо загрузить персональные идентификационные данные при запросе удаления страницы из Wayback Machine.
В BleepingComputer неоднократно пытались предупредить Internet Archive о том, что их исходный код был украден с помощью токена аутентификации GitLab, который был доступен в сети в течение почти двух лет.
В начале октября IA подвергся двум разным атакам одновременно — в ходе одной из них произошла кража данных 31 млн пользователей сайта, а вторая выглядела как DDoS, её провела пропалестинская группа SN_BlackMeta. Эти атаки совершили разные злоумышленники, но многие СМИ неверно приписали их SN_BlackMeta. Вероятно, это разочаровало хакера, стоящего за утечкой. Он связался с BleepingComputer через посредника, чтобы взять на себя ответственность за атаку и объяснить, как взломали Internet Archive.
Злоумышленник сообщил BleepingComputer, что он обнаружил раскрытый файл конфигурации GitLab на одном из серверов разработки организации, services-hls.dev.archive.org. Токен был раскрыт по крайней мере с декабря 2022 года, и с тех пор он менялся несколько раз. Злоумышленник утверждает, что этот файл конфигурации GitLab содержал токен аутентификации, позволяющий ему загружать исходный код Internet Archive. Исходный код дополнительно содержал учётные данные, в том числе для системы управления базами данных Internet Archive. Это позволило хакеру загрузить базу данных пользователей организации, дополнительный исходный код и изменить сайт.
Злоумышленник утверждал, что украл 7 ТБ данных из Internet Archive, но не предоставил никаких образцов в качестве доказательства. Теперь выяснилось, что они включали токены доступа API для системы поддержки Zendesk.
В Internet Archive так и не отреагировали на сообщения BleepingComputer.
О взломе Internet Archive стало известно 9 октября. Тогда посетители сайта archive.org увидели уведомления от злоумышленников, в котором говорилось о взломе площадки. Позднее основатель Have I Been Pwned Трой Хант сообщил, что в его распоряжение попал файл с украденными данными пользователей. Последняя запись в базе датирована 28 сентября 2024 года. Злоумышленникам удалось похитить данные 31 млн пользователей сервиса, включая логины, адреса электронной почты и пароли в зашифрованном виде.
К 14 октября Internet Archive возобновил работу в режиме read-only и только для сервиса Wayback Machine. Пользователи пока не могут добавлять новые страницы в архив.
ссылка на оригинал статьи https://habr.com/ru/articles/852128/
Добавить комментарий