1 pontos por GN⁺ 2024-10-21 | 1 comentários | Compartilhar no WhatsApp
  • O Internet Archive voltou a ser afetado após a violação de dados anterior e o DDoS, porque o problema de tokens de autenticação expostos continuou sem solução; desta vez, até o sistema de suporte por e-mail da Zendesk foi comprometido
  • O invasor afirmou ter obtido um token da Zendesk com acesso a mais de 800 mil tickets de suporte enviados para info@archive.org desde 2018, e os e-mails enviados passaram nas verificações de DKIM, DMARC e SPF
  • A violação inicial começou com um token exposto em um arquivo de configuração do GitLab em um servidor de desenvolvimento, e foi confirmado que esse token estava exposto pelo menos desde dezembro de 2022
  • O código-fonte roubado incluía credenciais do sistema de gerenciamento de banco de dados e tokens adicionais, o que pode ter permitido acesso ao banco de dados de usuários e até permissão para modificar o site
  • O ataque parece ter sido motivado mais pela busca de cyber street cred do que por política ou dinheiro, e ainda existe o risco de os dados roubados circularem em comunidades de dados de violações ou fóruns de hacking

Violação se estendeu até o sistema de suporte da Zendesk

  • O Internet Archive foi comprometido novamente desta vez por meio da plataforma de suporte por e-mail da Zendesk
  • Vários usuários que haviam enviado solicitações de remoção ao Internet Archive no passado receberam respostas, e a mensagem alertava que a organização não havia substituído corretamente tokens de autenticação roubados
  • O e-mail do invasor dizia que, mesmo após o Internet Archive detectar a violação algumas semanas antes, várias chaves de API expostas nos segredos do GitLab não foram rotacionadas
  • O invasor afirmou que o token da Zendesk dava acesso a mais de 800 mil tickets de suporte enviados para info@archive.org desde 2018
  • Os cabeçalhos desses e-mails passaram em todas as verificações de autenticação DKIM, DMARC e SPF, e foi confirmado que foram enviados de um servidor Zendesk autorizado no endereço 192.161.151.10

Possível exposição de anexos dos tickets de suporte

  • Alguns usuários precisavam enviar um documento de identidade pessoal ao solicitar a remoção de páginas no Wayback Machine
  • Se o invasor baixou os tickets de suporte usando acesso à API da Zendesk, ele também pode ter acessado esses anexos
  • A Zendesk possui uma API para visualizar anexos de tickets, e o escopo real da exposição depende das permissões de API que o invasor tinha e de como elas foram usadas

Exposição do token do GitLab e ataques anteriores

  • Em 9 de outubro, o Internet Archive sofreu dois ataques no mesmo período
    • Uma violação de dados em que foram roubados dados de 33 milhões de usuários do site
    • Um ataque DDoS do grupo SN_BlackMeta, que afirma ter inclinação pró-Palestina
  • Os dois ataques ocorreram no mesmo período, mas foram realizados por invasores diferentes
  • Vários veículos relataram incorretamente que o SN_BlackMeta estava por trás da violação de dados, mas o verdadeiro responsável entrou em contato separadamente com a BleepingComputer para explicar o método usado
  • A violação inicial começou em um arquivo de configuração do GitLab exposto no servidor de desenvolvimento do Internet Archive, services-hls.dev.archive.org
  • Foi confirmado que esse token do GitLab estava exposto pelo menos desde dezembro de 2022 e que foi rotacionado várias vezes depois disso

Acesso adicional a partir do código-fonte

  • O invasor afirmou que o token de autenticação no arquivo de configuração do GitLab permitia baixar o código-fonte do Internet Archive
  • Segundo ele, no código-fonte foram encontrados credenciais adicionais e outros tokens de autenticação
  • Entre eles estavam credenciais do sistema de gerenciamento de banco de dados do Internet Archive, que teriam permitido os seguintes acessos
    • Baixar o banco de dados de usuários da organização
    • Baixar código-fonte adicional
    • Modificar o site
  • O invasor alegou ter roubado 7 TB de dados do Internet Archive, mas não compartilhou nenhuma amostra como prova
  • Depois, foi revelado que os dados roubados também incluíam um token de acesso à API do sistema de suporte Zendesk do Internet Archive

Lacunas na resposta apesar dos alertas repetidos

  • A BleepingComputer entrou em contato com o Internet Archive várias vezes, oferecendo compartilhar como a violação ocorreu e qual teria sido a motivação
  • O contato mais recente foi na sexta-feira, mas não houve resposta
  • Esta nova violação da Zendesk está ligada à alegação do invasor de que, após a exposição do token de autenticação do GitLab, os tokens relacionados não foram substituídos de forma suficiente

Motivação do ataque e risco de circulação dos dados

  • Após a violação do Internet Archive, espalharam-se teorias da conspiração dizendo que Israel, o governo dos EUA ou empresas em disputa de direitos autorais estariam por trás do ataque
  • Esta violação parece ter acontecido menos por motivos políticos ou financeiros e mais porque o invasor simplesmente conseguia executá-la
  • Em comunidades de comércio de dados roubados, existem motivações como as seguintes
    • Extorquir a vítima para obter dinheiro
    • Vender os dados a outros invasores
    • Colecionar dados de violações
    • Obter cyber street cred com um vazamento público
  • O Internet Archive é um site muito conhecido e extremamente popular, o que ajuda a aumentar a reputação do invasor
  • Ninguém assumiu publicamente a autoria desta violação, mas sabe-se que o invasor a executou enquanto conversava em grupo com outras pessoas, e vários indivíduos teriam recebido parte dos dados roubados
  • É possível que esse banco de dados já esteja sendo negociado em comunidades de dados de violações e que no futuro acabe vazando gratuitamente em fóruns de hacking como o Breached

1 comentários

 
GN⁺ 2024-10-21
Opiniões no Hacker News
  • É realmente triste ver agentes de ameaça atacando um serviço altruísta como o Internet Archive. Esse tipo de comportamento regressivo desanima

    • Não estou tentando defender o invasor, e vejo o IA como um bem público. Mas uma das mensagens deste caso também pode ser lida como uma tentativa de apontar um problema que o IA deixou passar
      “Quer você estivesse tentando fazer uma pergunta comum, quer estivesse tentando solicitar a remoção de um site da Wayback Machine, seus dados agora estão nas mãos de alguma pessoa aleatória. Se não fosse eu, teria sido outra pessoa.”
      Então isso me faz pensar se há sentido na ideia de que um trabalho tão importante não deveria ficar sob responsabilidade de uma única organização
    • Muita gente está profundamente imersa na doutrina dos direitos de propriedade imaginários e depende disso para ganhar a vida, então não chega a ser algo tão surpreendente
    • Visto por outro ângulo, talvez devamos agradecer que tenha sido o tipo de pessoa que invadiu o IA e avisou publicamente, exigindo que o sistema fosse corrigido. Outro invasor poderia simplesmente ter destruído tudo, alterado conteúdo de forma silenciosa ou feito algo ainda pior que se possa imaginar
      Nesse sentido, cumpre um papel de interesse público ao expor o fato de que uma grande organização que lida com muitos dados de identificação pessoal não se preocupa nem um pouco com segurança
    • Qualquer coisa com muito tráfego vira alvo. O alcance potencial importa mais do que o que a organização faz
      Atividade criminosa é simplesmente atividade criminosa. Lugares que atraem muitos visitantes precisam ter segurança adequada para que seus clientes não virem vítimas
    • Parece que o invasor só queria reputação nas ruas, e a segunda invasão parece um lembrete de que o IA não corrigiu direito as coisas depois da primeira invasão
      Poderia ter sido pior
  • Para alguém com conhecimento sólido em segurança da informação, é uma boa oportunidade de oferecer expertise gratuitamente por uma boa causa

    • A esta altura, imagino que estejam soterrados por propostas assim
    • Neste ponto, deveriam considerar uma reescrita desde o início. Imagino que estejam rodando uma stack tecnológica de algo por volta de 1992
  • A Library of Congress deveria preservar a internet e também ter orçamento para isso
    Isso combina com a missão da “Library of Congress”. Ter um registro preciso do que havia na internet em determinado momento ajuda em discussões sobre legislação ou regulação relacionadas à internet

  • Precisamos de um arquivo baseado em armazenamento distribuído. Gosto do trabalho do Internet Archive e o apoio, mas preservar a história é importante demais para ficar nas mãos de uma única organização, ou seja, de um único ponto de falha

    • Sempre que aparece um texto desses, esse assunto surge pelo menos uma vez nos comentários
      O IA também tentou distribuir o armazenamento, mas, na prática, não houve gente suficiente disposta a oferecer seu próprio espaço de armazenamento como se dizia
    • Existe a abordagem de que “muitas cópias mantêm o material seguro”
      https://www.lockss.org/
      É um ótimo sistema que depende de um protocolo de consenso aleatório. Eu queria usá-lo como tema de artigo em segurança da informação, mas o modelo de segurança era tão bem projetado que não havia nada que eu pudesse acrescentar
    • Para tornar a web mais amigável a arquivos distribuídos, acho que deveríamos referenciar alvos por hashes, não por caminhos que um servidor insinua que vai fornecer de forma consistente, mas que na prática mostram dados diferentes em momentos diferentes por todo tipo de motivo
      Se dados diferentes sempre recebem referências diferentes, fica fácil saber se há backup suficiente. Quando o mesmo nome aponta para um monte de snapshots feitos sob condições diferentes, é difícil ter certeza de qual é exatamente o alvo que queremos fazer backup sob aquele nome
    • LibGen e Sci-Hub são exemplares nesse sentido. Usam bem a tecnologia adequada ao propósito. Têm torrents + IPFS + espelhos HTTP simples em vários lugares
      Os dados são grandes, mas não tão grandes quanto o Archive.org: https://libgen.is/repository_torrent/. Ainda assim, é preciso dinheiro para manter esses nós distribuídos, e o objetivo principal parece ser resiliência
    • Projetei um sistema em que, se alguém dissesse “vou doar 2 TB de espaço livre em disco para o Internet Archive”, o IA enviaria 2 TB de dados para lá. Esse sistema também teria a propriedade de poder ser reconstruído mesmo que o IA ou outro provedor desaparecesse
      Mas, quando perguntei a algumas equipes de arquivo, incluindo o IA, se teriam interesse em usá-lo, não recebi resposta ou recebi apenas respostas negativas
  • Alguém sabe quem está mirando o Internet Archive e por quê? Tenho a impressão de que os ataques são sofisticados demais para serem apenas vandalismo de brincadeira

    • Parece só alguém mijando no saleiro. O Internet Archive claramente é uma estrutura sustentada por fita silver tape e força de vontade individual. Claro, é uma silver tape resistente e duradoura
      Além disso, sua missão principal é espalhar dados, não escondê-los para gerar lucro
      A fonte original dessa sabedoria antiga, para quem não conhece a analogia do saleiro:
      https://web.archive.org/web/20060619131835/http://xelios.liv...
      Para traduções, escolha qualquer uma:
      https://malaya-zemlya.livejournal.com/697779.html
      https://personal-view.com/talks/discussion/25915/humor-hacke...
      https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
    • Não sei por que você tem essa impressão. Pela mensagem dos atacantes, todos parecem vândalos de brincadeira, e também não vi nenhum sinal de que os sistemas do IA parecessem Fort Knox
      Não seria surpreendente se eles fossem bem relaxados com segurança, achando que quase ninguém teria motivo para atacá-los
    • O grupo que alegou ter feito o primeiro hack é descrito como baseado na Rússia, antiamericano e pró-Palestina, e disse que o motivo do ataque era a violação de direitos autorais pelo IA
      Cada um pode tirar a conclusão que achar mais fundamentada, mas, para mim, isso tem muito cheiro de órgão estatal
    • Vendo tantos comentários pedindo troca de liderança, minha teoria do chapéu de alumínio é que talvez seja uma tentativa organizada de provocar uma troca de liderança
    • Talvez hackers white hat tenham avisado o IA sobre problemas de segurança e tenham sido ignorados, então invadiram de um jeito que não parece ter causado grandes danos para forçar alguma ação
  • Não sei qual é o modelo de financiamento deles, mas, se houver caixa, acho que contratar uma equipe de segurança deveria ser a prioridade máxima de investimento

    • Pelo menos neste momento, o modelo de financiamento do IA provavelmente está mais para suar frio esperando uma enorme decisão judicial
  • Que tipo de vândalo ataca uma biblioteca? Eles realmente precisam encontrar o responsável

    • Esse tipo de ataque na internet acontece o tempo todo com crianças que administram servidores de Minecraft, pequenos comerciantes, programadores amadores etc. Encontrar o responsável muitas vezes é difícil ou impossível, e órgãos como o FBI normalmente usam seus recursos em casos maiores, por exemplo crimes cibernéticos ligados a tráfico de drogas ou extorsão
      A triste realidade é que muita gente é atacada injustamente na internet e, por falta de foco investigativo e de recursos, uma boa parte fica impune
    • Quem ganha com esse ataque? Quem pressionou para que livros fossem removidos do IA?
  • Imagino um mundo em que advogados mandem alguns dólares para o IA toda vez que um snapshot do Wayback Machine ajudar em um processo. Assim eles logo conseguiriam bancar uma equipe de administradores de nível mundial

    • Essa é uma solução horrível. O Wayback Machine remove snapshots se quem controla o domínio pedir. Isso não é um arquivo
      Se o estado passado de uma página web é importante, você precisa de um registro que não desapareça só porque a outra parte pediu. perma.cc é exatamente esse conceito
  • Enviei meu currículo há quase um ano e não tive resposta nenhuma até ontem. Parece que agora estão vasculhando candidaturas acumuladas em busca de gente para ajudar

  • Para todos que acham que precisamos de uma alternativa melhor ao IA, ou acreditam que existe outra solução, ou que outra organização deveria operá-la: ninguém impediu o surgimento de alternativas concorrentes
    Como o IA já fez e compartilhou esse trabalho, vocês ainda têm um ponto de partida adiantado; é só tentar