В сети многие пользователи сообщают о том, что получили ответы на свои старые запросы на удаление данных из Internet Archive, предупреждающие, что организация подверглась взлому, так как не заменила украденные токены аутентификации.
В письме от злоумышленника говорится:
Разочаровывает, что даже после того, как они [разработчики Internet Archive] узнали о взломе несколько недель назад, они до сих пор не заменили многие API-ключи, которые были раскрыты в секретах GitLab.
Как доказывает это сообщение, затронут токен Zendesk с доступом к более 800 тысячам тикетов поддержки, отправленных на [email protected] с 2018 года.
Независимо от того, задавали ли вы общий вопрос или просили удалить ваш сайт из Wayback Machine, ваши данные теперь находятся в руках случайного человека. Если не у меня, то у кого-то другого.
Заголовки этих писем прошли проверки аутентификации DKIM, DMARC и SPF, что подтверждает их отправку через авторизованный сервер Zendesk с IP-адреса 192.161.151.10.
Один из получателей письма сообщил, что для запроса удаления страницы из Wayback Machine, нужно было загружать личные документы. Теперь злоумышленник, похоже, получил доступ к этим вложениям, в зависимости от того, какие API-права у него были к Zendesk и использовал ли он их для загрузки тикетов поддержки.
Администрацию «Архива Интернета» неоднократно предупреждали о том, что их исходный код был украден через токен аутентификации GitLab, который был открытым в сети почти два года.
Украденные токены аутентификации GitLab
9 октября стало известно, что Internet Archive подвергся двум разным атакам одновременно — утечке данных, где были украдены данные 33 миллионов пользователей сайта, и DDoS-атаке со стороны палестинской хакерской группы SN_BlackMeta.
Злоумышленник, ответственный за утечку данных, рассказал, что взлом начался с обнаружения открытого конфигурационного файла GitLab на одном из серверов организации, services-hls.dev.archive.org. Этот токен был доступен как минимум с декабря 2022 года, и с тех пор его несколько раз обновляли.
Злоумышленник утверждает, что этот конфигурационный файл GitLab содержал токен аутентификации, который позволил ему загрузить исходный код Internet Archive. Исходный код содержал дополнительные учетные данные и токены аутентификации, включая доступ к системе управления базами данных Internet Archive. Это позволило злоумышленнику скачать базу данных пользователей организации, дополнительный исходный код и модифицировать сайт.
Злоумышленник заявил, что украл 7 ТБ данных у Internet Archive, но не предоставил никаких доказательств.
Теперь известно, что украденные данные также включали API-токены доступа к системе поддержки Zendesk Internet Archive.
Взлом ради «киберпрестижа»
После взлома Internet Archive распространились теории заговора о том, почему организация была атакована. Некоторые утверждали, что это дело рук Израиля, правительства США или корпораций, ведущих борьбу с Internet Archive по вопросам авторских прав.
Однако взлом «Архива Интернета» не был связан с политикой или деньгами, а был совершен просто потому, что злоумышленник мог это сделать.
Существует большое сообщество людей, занимающихся торговлей украденными данными — для получения денег, шантажа жертвы, продажи другим злоумышленникам или просто ради коллекции.
Эти данные часто публикуются бесплатно, чтобы получить «киберпрестиж», повышая репутацию среди других злоумышленников, соревнующихся за самые крупные и публичные атаки.
В случае с «Архивом Интернета» не было смысла требовать выкуп, так как организация не является финансово привлекательной целью. Однако как широко известный и популярный сайт, взлом значительно повысил репутацию злоумышленника в сообществе.
Хотя никто публично не взял на себя ответственность за этот взлом, было установлено, что злоумышленник совершил его, находясь в групповом чате, и многие из участников чата получили часть украденных данных. Эта база данных, вероятно, уже распространяется среди других людей в сообществе, и в будущем мы, вероятно, увидим утечку на специализированных форумах, таких как Breached.
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах