Internet Archive ponownie zhackowane po niespełna dwóch tygodniach

Poprzedni incydent Internet Archive dotyczył poważnego wycieku 31 milionów rekordów bazy danych, która przechowywała dane użytkowników portalu, o czym informowaliśmy w stosownym wpisie. Okazuje się, że to nie koniec problemów znanego internetowego archiwum przechowującego nie tylko migawki stron internetowych ale także np. książki. 

TLDR:

• Internet Archive po raz kolejny zostało shackowane w ciągu niespełna dwóch tygodni
• Mimo działań przeprowadzonych w wyniku wątpliwej reakcji na incydent, o którym głośno było 09.10.2024, atakujący utrzymał dostęp do części usług
• Wyciec mogły dokumenty potwierdzające tożsamość
• To kolejny kamyczek do ogródka Internet Archive, które ma również problemy natury prawnej wynikające z zarzutów dot. piractwa internetowego

Jak donosi BleepingComputer, pojawiają się informacje o rozsyłanych przez aplikację Zendesk mailach, zawierających informację o tym, że atakujący wciąż ma dostęp do niektórych serwisów należących do organizacji IA. 

Nagłówki wiadomości świadczą o tym, że została ona wysłana przez autoryzowaną instancję Zendeska, czyli platformy do zarządzania ticketami i obsługi klienta. 

Sytuację komplikuje fakt, że osoby kontaktujące się ze wsparciem Internet Archive w celu usunięcia strony z archiwum, musiały (wedle tego o czym informują dziennikarzy) przedstawić jakąś formę dokumentu w celu weryfikacji. 

Jak można przeczytać w wiadomości przesłanej z systemu IA, zespół organizacji ma problem z dokonaniem rotacji poświadczeń (tokenów, kluczy), które wyciekły w sekretach z GitLaba. 

Atakujący pochwalił się dziennikarzom, że odnalazł na testowym serwerze organizacji plik zawierający konfigurację GitLaba. Dane były dostępne od przeszło dwóch lat. W wyniku eksploracji zasobów z wykorzystaniem pozyskanych kluczy do API, atakującemu udało się ściągnąć kod źródłowy Internet Archive. Rzekomo pobrane zostało też około 7TB danych organizacji, jednak jak dotąd nie ma na to jakichś szczególnych dowodów. W pobranych materiałach odnaleziono kolejne poświadczenia (najprawdopodobniej były to zahardcodowane klucze API, albo tokeny, które trafiły do repozytorium w plikach konfiguracyjnych), które pozwoliły na dostęp do innych systemów. 

Jak informowaliśmy poprzednio, dane wykradzione z Internet Archive trafiły już do portalu Have I Been Pwned. Kolejny atak to tak naprawdę pokłosie braku sensownej odpowiedzi ze strony Internet Archive na poprzednie zdarzenie. Na ten moment ciężko stwierdzić jakie kroki są podejmowane oraz czy atakujący stracił już dostęp do infrastruktury, ponieważ działania IA w odpowiedzi na incydent nie grzeszą transparentnością. Portal, niezwykle przydatny w codziennym życiu, będący doskonałym źródłem wiedzy o informacjach publikowanych w Internecie wpada w spiralę problemów. Ciekawe, jak to wszystko się skończy, jednak patrząc na narastające kłopoty… nie mamy dobrych przeczuć. 

Na koniec coś niespodziewanego, ale wciąż w kontekście Internet Archive. Otóż użytkownicy Twitter/x znaleźli informację o tym, że z archiwum zniknęły blogposty Twittera z lat 2019-2024.

~fc