Το Internet Archive παραβιάστηκε ξανά, αυτή τη φορά στην πλατφόρμα υποστήριξης email Zendesk μετά από επανειλημμένες προειδοποιήσεις ότι οι φορείς απειλών έκλεψαν εκτεθειμένα διακριτικά ελέγχου ταυτότητας GitLab.
Από χθες το βράδυ, το BleepingComputer έχει λάβει πολλά μηνύματα από άτομα που έλαβαν απαντήσεις στα παλιά αιτήματα κατάργησης του Internet Archive, προειδοποιώντας ότι ο οργανισμός έχει παραβιαστεί καθώς δεν ενέτρεψαν σωστά τα κλεμμένα διακριτικά ελέγχου ταυτότητας.
«Είναι απογοητευτικό να βλέπεις ότι ακόμη και αφού ενημερώθηκε για την παραβίαση πριν από εβδομάδες, η IA δεν έχει κάνει ακόμα τη δέουσα επιμέλεια να περιστρέψει πολλά από τα κλειδιά API που αποκαλύφθηκαν στα μυστικά gitlab τους», αναφέρει ένα email από τον ηθοποιό απειλών.
“Όπως αποδεικνύεται από αυτό το μήνυμα, αυτό περιλαμβάνει ένα διακριτικό Zendesk με άδειες πρόσβασης σε 800.000+ εισιτήρια υποστήριξης που αποστέλλονται στο [email protected] από το 2018.”
“Είτε προσπαθούσατε να κάνετε μια γενική ερώτηση είτε ζητούσατε την κατάργηση του ιστότοπού σας από το Wayback Machine, τα δεδομένα σας βρίσκονται πλέον στα χέρια κάποιου τυχαίου τύπου. Αν όχι εγώ, θα ήταν κάποιος άλλος.”
Πηγή: BleepingComputer
Οι κεφαλίδες email σε αυτά τα email περνούν επίσης όλους τους ελέγχους ταυτότητας DKIM, DMARC και SPF, αποδεικνύοντας ότι στάλθηκαν από εξουσιοδοτημένο διακομιστή Zendesk στη διεύθυνση 192.161.151.10.
Πηγή: BleepingComputer
Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου έρχονται αφότου η BleepingComputer προσπάθησε επανειλημμένα να προειδοποιήσει το Internet Archive ότι ο πηγαίος κώδικας τους κλάπηκε μέσω ενός διακριτικού ελέγχου ταυτότητας GitLab που εκτέθηκε στο διαδίκτυο για σχεδόν δύο χρόνια.
Εκτέθηκαν διακριτικά ελέγχου ταυτότητας GitLab
Στις 9 Οκτωβρίου, η BleepingComputer ανέφερε ότι το Internet Archive επλήγη από δύο διαφορετικές επιθέσεις ταυτόχρονα την περασμένη εβδομάδα—μια παραβίαση δεδομένων όπου κλάπηκαν τα δεδομένα χρηστών του ιστότοπου για 33 εκατομμύρια χρήστες και μια επίθεση DDoS από μια φιλοπαλαιστινιακή ομάδα με το όνομα SN_BlackMeta.
Ενώ και οι δύο επιθέσεις πραγματοποιήθηκαν την ίδια περίοδο, πραγματοποιήθηκαν από διαφορετικούς παράγοντες απειλής. Ωστόσο, πολλά καταστήματα ανέφεραν εσφαλμένα ότι το SN_BlackMeta βρισκόταν πίσω από την παραβίαση και όχι απλώς τις επιθέσεις DDoS.
Πηγή: BleepingComputer
Αυτή η εσφαλμένη αναφορά απογοήτευσε τον παράγοντα απειλής πίσω από την πραγματική παραβίαση δεδομένων, ο οποίος επικοινώνησε με την BleepingComputer μέσω ενός μεσάζοντα για να διεκδικήσει την πίστωση για την επίθεση και να εξηγήσει πώς παραβίασαν το Αρχείο Διαδικτύου.
Ο ηθοποιός της απειλής είπε στο BleepingComputer ότι η αρχική παραβίαση του Internet Archive ξεκίνησε με την εύρεση ενός εκτεθειμένου αρχείου διαμόρφωσης GitLab σε έναν από τους διακομιστές ανάπτυξης του οργανισμού, services-hls.dev.archive.org.
Το BleepingComputer μπόρεσε να επιβεβαιώσει ότι αυτό το διακριτικό είχε εκτεθεί τουλάχιστον από τον Δεκέμβριο του 2022, το οποίο περιστρέφεται πολλές φορές από τότε.
Πηγή: BleepingComputer
Ο παράγοντας απειλών λέει ότι αυτό το αρχείο διαμόρφωσης του GitLab περιείχε ένα διακριτικό ελέγχου ταυτότητας που του επέτρεπε να κατεβάσουν τον πηγαίο κώδικα του Internet Archive.
Ο χάκερ λέει ότι αυτός ο πηγαίος κώδικας περιείχε πρόσθετα διαπιστευτήρια και διακριτικά ελέγχου ταυτότητας, συμπεριλαμβανομένων των διαπιστευτηρίων στο σύστημα διαχείρισης βάσεων δεδομένων του Internet Archive. Αυτό επέτρεψε στον παράγοντα απειλής να πραγματοποιήσει λήψη της βάσης δεδομένων χρηστών του οργανισμού, περαιτέρω πηγαίο κώδικα και να τροποποιήσει τον ιστότοπο.
Ο ηθοποιός της απειλής ισχυρίστηκε ότι είχε κλέψει 7 TB δεδομένων από το Αρχείο Διαδικτύου, αλλά δεν κοινοποίησε κανένα δείγμα ως απόδειξη.
Ωστόσο, τώρα γνωρίζουμε ότι τα κλεμμένα δεδομένα περιελάμβαναν επίσης τα διακριτικά πρόσβασης API για το σύστημα υποστήριξης Zendesk του Internet Archive.
Το BleepingComputer προσπάθησε να μπει στο Internet Archive πολλές φορές, μόλις την Παρασκευή, προσφέροντάς μας να μοιραστούμε όσα γνωρίζαμε για το πώς συνέβη η παραβίαση και γιατί έγινε, αλλά δεν λάβαμε ποτέ απάντηση.
Παραβιάστηκε για την πίστη του δρόμου στον κυβερνοχώρο
Μετά την παραβίαση του Αρχείου Διαδικτύου, αφθονούν οι θεωρίες συνωμοσίας σχετικά με το γιατί δέχθηκαν επίθεση.
Κάποιοι είπαν ότι το έκανε το Ισραήλ, η κυβέρνηση των Ηνωμένων Πολιτειών ή οι εταιρείες στη συνεχιζόμενη μάχη τους με το Αρχείο Διαδικτύου για παραβίαση πνευματικών δικαιωμάτων.
Ωστόσο, το Αρχείο Διαδικτύου δεν παραβιάστηκε για πολιτικούς ή νομισματικούς λόγους, αλλά απλώς επειδή ο παράγοντας της απειλής μπορούσε.
Υπάρχει μια μεγάλη κοινότητα ανθρώπων που διακινούν κλεμμένα δεδομένα, είτε το κάνουν για χρήματα εκβιάζοντας το θύμα, πουλώντας τα σε άλλους παράγοντες απειλών ή απλώς επειδή είναι συλλέκτες παραβιάσεων δεδομένων.
Αυτά τα δεδομένα συχνά κυκλοφορούν δωρεάν για απόκτηση cyber street cred, αυξάνοντας τη φήμη τους μεταξύ άλλων παραγόντων απειλών σε αυτήν την κοινότητα, καθώς όλοι ανταγωνίζονται για το ποιος έχει τις πιο σημαντικές και δημοσιοποιημένες επιθέσεις.
Στην περίπτωση του Internet Archive, δεν υπήρχαν χρήματα που θα μπορούσαν να βγάλουν από την προσπάθεια εκβίασης της οργάνωσης. Ωστόσο, ως γνωστός και εξαιρετικά δημοφιλής ιστότοπος, σίγουρα ενίσχυσε τη φήμη ενός ατόμου σε αυτήν την κοινότητα.
Αν και κανείς δεν έχει ισχυριστεί δημόσια αυτή την παραβίαση, η BleepingComputer ενημερώθηκε ότι έγινε ενώ ο ηθοποιός της απειλής βρισκόταν σε μια ομαδική συνομιλία με άλλους, με πολλούς να λαμβάνουν ορισμένα από τα κλεμμένα δεδομένα.
Αυτή η βάση δεδομένων είναι πλέον πιθανό να ανταλλάσσεται μεταξύ άλλων ατόμων στην κοινότητα παραβίασης δεδομένων και πιθανότατα θα τη δούμε να διαρρέει δωρεάν στο μέλλον σε φόρουμ hacking όπως το Breached.
VIA: bleepingcomputer.com
