O Internet Archive sofreu outra violação de segurança, desta vez por meio de sua plataforma de suporte por e-mail Zendesk, após vários avisos sobre agentes de ameaças roubando tokens de autenticação GitLab expostos.
Desde a noite passada, o BleepingComputer recebeu vários relatórios de indivíduos que receberam respostas a solicitações antigas de remoção do Internet Archive. Essas mensagens alertavam que a organização havia sido violada devido à falha em rotacionar adequadamente os tokens de autenticação roubados.
“É frustrante ver que, apesar de ter sido alertado sobre a violação semanas atrás, o Internet Archive ainda não rotacionou muitas das chaves de API expostas em seus segredos do GitLab”, afirmou o e-mail de um agente de ameaça.
O e-mail explicou ainda que as credenciais roubadas incluíam um token Zendesk com permissões para acessar mais de 800.000 tickets de suporte enviados para info@archive.org desde 2018.
“Quer você tenha feito uma consulta geral ou solicitado a remoção do seu site da Wayback Machine, seus dados agora estão nas mãos de uma parte não autorizada. Se não eu, outra pessoa os teria obtido”, alertou a mensagem.
E-mails do Internet Archive Zendesk enviados pelo agente da ameaça
Fonte: BleepingComputer
Os cabeçalhos de e-mail mostraram que todas as verificações de autenticação DKIM, DMARC e SPF foram aprovadas, confirmando que os e-mails foram enviados de um servidor Zendesk autorizado no endereço IP 192.161.151.10.
Cabeçalhos de e-mail do Internet Archive Zendesk
Fonte: BleepingComputer
Após a publicação da história, um destinatário dos e-mails informou ao BleepingComputer que havia carregado identificação pessoal ao solicitar a remoção de uma página da Wayback Machine. Dependendo do nível de acesso à API que o invasor tinha ao Zendesk, ele agora pode possuir esses anexos confidenciais também.
Esses e-mails seguem repetidas tentativas do BleepingComputer de avisar o Internet Archive que seu código-fonte havia sido roubado por meio de um token de autenticação GitLab exposto, que permaneceu online por quase dois anos.
Tokens de autenticação GitLab expostos
Em 9 de outubro, o BleepingComputer relatou que o Internet Archive foi alvo de dois ataques separados na semana passada — uma violação de dados que expôs dados de usuários de 33 milhões de usuários e um ataque DDoS realizado por um grupo pró-palestino chamado SN_BlackMeta.
Embora os ataques tenham ocorrido simultaneamente, eles foram executados por diferentes agentes de ameaças. No entanto, vários meios de comunicação relataram erroneamente que o SN_BlackMeta foi responsável pela violação de dados e pelo ataque DDoS, gerando confusão.
Alerta de JavaScript no aviso do Internet Archive sobre a violação
Fonte: BleepingComputer
Esse relato incorreto frustrou o hacker por trás da violação de dados, que entrou em contato com o BleepingComputer por meio de um intermediário para levar o crédito e esclarecer como eles comprometeram o Internet Archive.
De acordo com o autor da ameaça, a violação começou quando eles descobriram um arquivo de configuração do GitLab exposto em um dos servidores de desenvolvimento da organização, services-hls.dev.archive.org.
O BleepingComputer verificou que esse token havia sido exposto publicamente desde pelo menos dezembro de 2022 e havia sido rotacionado várias vezes desde então.
Token de autenticação GitLab do Internet Archive exposto
Fonte: BleepingComputer
O hacker explicou que esse arquivo de configuração do GitLab continha um token de autenticação que concedia acesso ao código-fonte do Internet Archive.
O código-fonte, por sua vez, continha credenciais e tokens de autenticação adicionais, incluindo acesso ao sistema de gerenciamento de banco de dados do Internet Archive. Isso permitiu que o agente da ameaça baixasse o banco de dados do usuário, mais código-fonte e até mesmo modificasse o site.
O hacker alegou ter roubado 7 TB de dados do Internet Archive, mas se recusou a fornecer quaisquer amostras como prova.
Desde então, foi revelado que os dados roubados também incluíam tokens de acesso à API para o sistema de suporte Zendesk do Internet Archive.
Apesar dos esforços repetidos do BleepingComputer para contatar o Internet Archive, incluindo recentemente na sexta-feira, oferecendo detalhes sobre como a violação ocorreu, a organização não respondeu.
Violado por credibilidade cibernética
Após a violação do Internet Archive, teorias da conspiração surgiram rapidamente, especulando sobre quem estava por trás do ataque.
Alguns sugeriram que Israel, o governo dos EUA ou mesmo corporações envolvidas em disputas de direitos autorais com o Internet Archive foram os responsáveis.
No entanto, a violação não ocorreu por motivos políticos ou monetários — simplesmente aconteceu porque o hacker tinha os meios para isso.
Existe uma vasta comunidade de indivíduos que traficam dados roubados. Alguns fazem isso por ganho financeiro ao extorquir vítimas ou vender as informações para outros criminosos cibernéticos, enquanto outros coletam violações simplesmente como um hobby.
Frequentemente, esses dados roubados são liberados gratuitamente para aumentar a “credibilidade cibernética” do hacker, aumentando sua reputação entre outros atores de ameaças enquanto competem para executar os ataques mais significativos e de alto perfil.
No caso do Internet Archive, a extorsão não era o objetivo, pois não havia incentivo financeiro para atingir a organização. Em vez disso, violar um site tão amplamente reconhecido e com tráfego intenso serviu para melhorar a posição do hacker na comunidade.
Embora ninguém tenha assumido publicamente a responsabilidade por essa violação, o BleepingComputer foi informado de que ela ocorreu durante um bate-papo em grupo com outros atores de ameaças, muitos dos quais receberam partes dos dados roubados.
Este banco de dados provavelmente está sendo negociado entre membros da comunidade de violação de dados, e espera-se que ele eventualmente vaze gratuitamente em fóruns de hackers como o Breached.
Fonte: BleepingComputer, Lawrence Abrams