Για μια ψηφιακή βιβλιοθήκη που διαφημίζει την αποστολή της ως παροχή «καθολικής πρόσβασης σε όλη τη γνώση», το Αρχείο Διαδικτύου φαίνεται να δυσκολεύεται να διατηρήσει τον έλεγχο των δικών του δεδομένων. Σε μια παραβίαση που θα μπορούσε να περιγραφεί ως προειδοποιητική ιστορία για οποιονδήποτε οργανισμό βρίσκεται σε σωρούς ευαίσθητων πληροφοριών χρηστών, οι χάκερ για άλλη μια φορά ξεφεύγουν από κρίσιμα δεδομένα.
Ο λόγος πίσω από την τελευταία παραβίαση δεδομένων του Internet Archive
Το Internet Archive παραβιάστηκε μέσω της πλατφόρμας υποστήριξης Zendesk, ένα κρίσιμο ελάττωμα που έχει τις ρίζες του στην αποτυχία του οργανισμού να εναλλάξει κλεμμένα διακριτικά ελέγχου ταυτότητας GitLab. Ναι, καλά διαβάσατε—τα ίδια διακριτικά API που είχαν παραβιαστεί σε προηγούμενη επίθεση εξακολουθούσαν να παίζουν, γεγονός που είχε επισημανθεί τόσο από παράγοντες απειλών όσο και από ειδικούς σε θέματα ασφάλειας. Όπως το έθεσε ευθαρσώς ο χάκερ σε ένα χλευαστικό email: «Είτε προσπαθούσατε να κάνετε μια γενική ερώτηση, είτε ζητούσατε την αφαίρεση του ιστότοπού σας από το Wayback Machine, τα δεδομένα σας βρίσκονται τώρα στα χέρια κάποιου τυχαίου τύπου. Αν όχι εγώ, θα ήταν κάποιος άλλος».
Αυτό τσιμπάει. Αλλά τι είναι χειρότερο; Η απόδειξη βρίσκεται στην ψηφιακή πουτίγκα. Οι κεφαλίδες των email ελέγχθηκαν, επιβεβαιώνοντας ότι αυτά τα μηνύματα όντως ενεργοποιήθηκαν από εξουσιοδοτημένους διακομιστές Zendesk. Πάνω από 800.000 εισιτήρια υποστήριξης βρίσκονταν πλέον στα χέρια χάκερ και μερικά από αυτά φέρεται να περιείχαν προσωπικά έγγραφα ταυτοποίησης από αιτήματα αφαίρεσης. Ουσιαστικά, αν προσπαθήσατε να καλύψετε τα ίχνη σας διαγράφοντας κάτι από το Wayback Machine, αυτές ακριβώς οι προσπάθειες μπορεί τώρα να σας έχουν εκθέσει.
Αυτό που είναι συναρπαστικό – και εντελώς παράλογο – είναι ότι δεν ήταν καν μια επίθεση που οδηγήθηκε από νομισματικό κέρδος ή πολιτικά κίνητρα. Δεν υπήρχαν χαρτονομίσματα για λύτρα, καμία κυβερνητική ίντριγκα. Αυτό ήταν ένα flex. Ο χάκερ ήθελε να ενισχύσει τη φήμη τους στον υπόκοσμο των εγκληματιών του κυβερνοχώρου, όπου το νόμισμα της εξουσίας βασίζεται στο ποιος η παραβίαση είναι μεγαλύτερη, πιο τολμηρή και πιο δημόσια. Σε αυτήν την περίπτωση, το Αρχείο Διαδικτύου ήταν ο τέλειος στόχος—ένα πολύ γνωστό όνομα, δημοφιλές σε όλο τον κόσμο, αλλά με φαινομενικά ανοιχτές τρύπες στην άμυνά του.
Σίγουρα, οι θεωρίες συνωμοσίας πλημμύρισαν το Διαδίκτυο, με κάποιους να ισχυρίζονται ότι το Ισραήλ, η κυβέρνηση των ΗΠΑ ή μεγάλες εταιρείες είχαν συνεισφέρει στην παραβίαση. Αλλά η πραγματικότητα; Πολύ λιγότερο λαμπερό. Ήταν απλώς θέμα ευκαιρίας και κύρους μεταξύ των χάκερ. Σε μια στρεβλή μορφή ειρωνείας, το ίδιο το ίδρυμα που δεσμεύτηκε να διατηρήσει τις πληροφορίες έγινε το τελευταίο έκθεμα στο μουσείο παραβιασμένων δεδομένων.
Δεν ήταν καν η πρώτη φορά που χτυπήθηκε το Αρχείο. Στην πραγματικότητα, ήταν η τρίτη μεγάλη παραβίασή τους μόλις τον Οκτώβριο. Νωρίτερα, ένα εκτεθειμένο διακριτικό GitLab επέτρεψε σε χάκερ να κλέψουν τον πηγαίο κώδικα και τα δεδομένα χρήστη για 33 εκατομμύρια χρήστες. Οι χάκερ είχαν ακόμη και το θράσος να παραβιάσουν το JavaScript του ιστότοπου, στέλνοντας ένα μήνυμα στους επισκέπτες ότι τα δεδομένα τους είχαν παραβιαστεί. «Βλέπω 31 εκατομμύρια από εσάς [Have I Been Pwned]», έγραφε.
Λεπτομέρειες παραβίασης του Internet Archive αποκαλύπτουν ότι 31 εκατομμύρια λογαριασμοί παραβιάστηκαν
Και ενώ ο οργανισμός μπορεί να υποστηρίξει ότι η τεράστια βιβλιοθήκη του παραμένει ανέπαφη, το ψηφιακό ισοδύναμο του σπασμένου γυαλιού στο πάτωμα λέει μια διαφορετική ιστορία. Το Αρχείο Διαδικτύου ήταν απασχολημένο με πιο πιεστικά ζητήματα —δηλαδή αγωγές για παραβίαση πνευματικών δικαιωμάτων— αφήνοντας την ασφάλεια στον κυβερνοχώρο σε αδιέξοδο.
Θα μάθουν ποτέ;
Παρά τις δημόσιες υποσχέσεις του ιδρυτή Μπρούστερ Κάλε για την «ενίσχυση της άμυνας» και τη διασφάλιση της ασφάλειας, τα επαναλαμβανόμενα περιστατικά υποδηλώνουν κάτι πιο συστημικό. Ο ίδιος ο Kahle έχει αναγνωρίσει αυτές τις αποτυχίες, δηλώνοντας ότι ο μη κερδοσκοπικός οργανισμός εργάζεται «όλο το εικοσιτετράωρο» για να βελτιώσει την ασφάλεια, αλλά πόσες φορές μπορείτε να ξαναχτίσετε από τις στάχτες προτού οι χρήστες απλώς σταματήσουν να σας εμπιστεύονται;
Πίστωση επιλεγμένης εικόνας: Markus Spiske/Unsplash
VIA: DataConomy.com
