O Internet Archive foi invadido novamente, desta vez em sua plataforma de suporte por e-mail Zendesk, após repetidos avisos de que atores de ameaças roubaram tokens de autenticação do GitLab expostos.
"É desanimador ver que, mesmo depois de ser informado sobre o ataque semanas atrás, o IA ainda não fez a devida diligência de rotacionar muitas das chaves de API que foram expostas em seus segredos do GitLab," leu-se em um e-mail do ator de ameaça.
"Como demonstrado por esta mensagem, isso inclui um token do Zendesk com permissões para acessar mais de 800 mil tickets de suporte enviados para [email protected] desde 2018."
"Seja você tentando fazer uma pergunta geral, ou solicitando a remoção do seu site do Wayback Machine, seus dados agora estão nas mãos de algum desconhecido.
Se não fosse eu, seria outra pessoa."
Os cabeçalhos de e-mail nestes e-mails também passam em todas as verificações de autenticação DKIM, DMARC, e SPF, provando que foram enviados por um servidor Zendesk autorizado no 192.161.151.10.
Após a publicação desta história, foi informado por um destinatário desses e-mails que teve que fazer upload de identificação pessoal ao solicitar a remoção de uma página do Wayback Machine.
O ator de ameaça agora também pode ter acesso a esses anexos, dependendo do acesso à API que eles tinham ao Zendesk e se o usaram para baixar os tickets de suporte.
Em 9 de outubro, foi relatado que o Internet Archive foi atingido por dois ataques diferentes de uma só vez na semana passada—um vazamento de dados onde os dados de usuário do site para 33 milhões de usuários foram roubados e um ataque DDoS por um grupo pró-palestino chamado SN_BlackMeta.
Embora ambos os ataques tenham ocorrido no mesmo período, eles foram conduzidos por diferentes atores de ameaça.
No entanto, muitos veículos relataram incorretamente que o SN_BlackMeta estava por trás do vazamento de dados, e não apenas dos ataques DDoS.
Essa reportagem incorreta frustrou o ator de ameaça responsável pelo real vazamento de dados, que comunicou por meio de um intermediário para reivindicar crédito pelo ataque e explicar como invadiram o Internet Archive.
O ator de ameaça contou que o início da invasão do Internet Archive começou com a descoberta de um arquivo de configuração do GitLab exposto em um dos servidores de desenvolvimento da organização, services-hls.dev.archive.org.
Foi confirmado que esse token foi exposto desde pelo menos dezembro de 2022, com várias rotações desde então.
O ator de ameaça diz que este arquivo de configuração do GitLab continha um token de autenticação que lhes permitia baixar o código-fonte do Internet Archive.
O hacker diz que esse código-fonte continha credenciais adicionais e tokens de autenticação, incluindo as credenciais para o sistema de gerenciamento de banco de dados do Internet Archive.
Isso permitiu ao ator de ameaça baixar o banco de dados de usuários da organização, mais código-fonte e modificar o site.
O ator de ameaça afirmou ter roubado 7TB de dados do Internet Archive, mas não compartilhou nenhuma amostra como prova.
No entanto, agora sabemos que os dados roubados também incluíam os tokens de acesso à API do sistema de suporte Zendesk do Internet Archive.
Após o Internet Archive ser invadido, teorias da conspiração abundaram sobre por que foram atacados.
Alguns disseram que foi Israel, o governo dos Estados Unidos, ou corporações em sua batalha contínua com o Internet Archive sobre violação de direitos autorais.
No entanto, o Internet Archive não foi invadido por razões políticas ou monetárias, mas simplesmente porque o ator da ameaça pôde.
Há uma grande comunidade de pessoas que traficam em dados roubados, seja fazendo isso por dinheiro extorquindo a vítima, vendendo-os para outros atores de ameaça, ou simplesmente porque são colecionadores de violações de dados.
Esses dados são frequentemente liberados gratuitamente para ganhar credibilidade no ciberespaço, aumentando sua reputação entre outros atores de ameaça nessa comunidade enquanto todos competem por quem tem os ataques mais significativos e mais divulgados.
No caso do Internet Archive, não havia dinheiro a ser feito tentando extorquir a organização.
No entanto, como um site bem conhecido e extremamente popular, definitivamente impulsionou a reputação de uma pessoa entre esta comunidade.
Embora ninguém tenha reivindicado publicamente esta violação, foi informado de que foi feito enquanto o ator de ameaça estava em um bate-papo em grupo com outros, com muitos recebendo alguns dos dados roubados.
Este banco de dados agora provavelmente está sendo negociado entre outras pessoas na comunidade de violação de dados, e provavelmente veremos isso vazado gratuitamente no futuro em fóruns de hacking como o Breached.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...