Internet Archive é violado novamente por tokens de acesso roubados
(bleepingcomputer.com)- O Internet Archive voltou a ser afetado após a violação de dados anterior e o DDoS, porque o problema de tokens de autenticação expostos continuou sem solução; desta vez, até o sistema de suporte por e-mail da Zendesk foi comprometido
- O invasor afirmou ter obtido um token da Zendesk com acesso a mais de 800 mil tickets de suporte enviados para info@archive.org desde 2018, e os e-mails enviados passaram nas verificações de DKIM, DMARC e SPF
- A violação inicial começou com um token exposto em um arquivo de configuração do GitLab em um servidor de desenvolvimento, e foi confirmado que esse token estava exposto pelo menos desde dezembro de 2022
- O código-fonte roubado incluía credenciais do sistema de gerenciamento de banco de dados e tokens adicionais, o que pode ter permitido acesso ao banco de dados de usuários e até permissão para modificar o site
- O ataque parece ter sido motivado mais pela busca de cyber street cred do que por política ou dinheiro, e ainda existe o risco de os dados roubados circularem em comunidades de dados de violações ou fóruns de hacking
Violação se estendeu até o sistema de suporte da Zendesk
- O Internet Archive foi comprometido novamente desta vez por meio da plataforma de suporte por e-mail da Zendesk
- Vários usuários que haviam enviado solicitações de remoção ao Internet Archive no passado receberam respostas, e a mensagem alertava que a organização não havia substituído corretamente tokens de autenticação roubados
- O e-mail do invasor dizia que, mesmo após o Internet Archive detectar a violação algumas semanas antes, várias chaves de API expostas nos segredos do GitLab não foram rotacionadas
- O invasor afirmou que o token da Zendesk dava acesso a mais de 800 mil tickets de suporte enviados para info@archive.org desde 2018
- Os cabeçalhos desses e-mails passaram em todas as verificações de autenticação DKIM, DMARC e SPF, e foi confirmado que foram enviados de um servidor Zendesk autorizado no endereço 192.161.151.10
Possível exposição de anexos dos tickets de suporte
- Alguns usuários precisavam enviar um documento de identidade pessoal ao solicitar a remoção de páginas no Wayback Machine
- Se o invasor baixou os tickets de suporte usando acesso à API da Zendesk, ele também pode ter acessado esses anexos
- A Zendesk possui uma API para visualizar anexos de tickets, e o escopo real da exposição depende das permissões de API que o invasor tinha e de como elas foram usadas
Exposição do token do GitLab e ataques anteriores
- Em 9 de outubro, o Internet Archive sofreu dois ataques no mesmo período
- Uma violação de dados em que foram roubados dados de 33 milhões de usuários do site
- Um ataque DDoS do grupo SN_BlackMeta, que afirma ter inclinação pró-Palestina
- Os dois ataques ocorreram no mesmo período, mas foram realizados por invasores diferentes
- Vários veículos relataram incorretamente que o SN_BlackMeta estava por trás da violação de dados, mas o verdadeiro responsável entrou em contato separadamente com a BleepingComputer para explicar o método usado
- A violação inicial começou em um arquivo de configuração do GitLab exposto no servidor de desenvolvimento do Internet Archive, services-hls.dev.archive.org
- Foi confirmado que esse token do GitLab estava exposto pelo menos desde dezembro de 2022 e que foi rotacionado várias vezes depois disso
Acesso adicional a partir do código-fonte
- O invasor afirmou que o token de autenticação no arquivo de configuração do GitLab permitia baixar o código-fonte do Internet Archive
- Segundo ele, no código-fonte foram encontrados credenciais adicionais e outros tokens de autenticação
- Entre eles estavam credenciais do sistema de gerenciamento de banco de dados do Internet Archive, que teriam permitido os seguintes acessos
- Baixar o banco de dados de usuários da organização
- Baixar código-fonte adicional
- Modificar o site
- O invasor alegou ter roubado 7 TB de dados do Internet Archive, mas não compartilhou nenhuma amostra como prova
- Depois, foi revelado que os dados roubados também incluíam um token de acesso à API do sistema de suporte Zendesk do Internet Archive
Lacunas na resposta apesar dos alertas repetidos
- A BleepingComputer entrou em contato com o Internet Archive várias vezes, oferecendo compartilhar como a violação ocorreu e qual teria sido a motivação
- O contato mais recente foi na sexta-feira, mas não houve resposta
- Esta nova violação da Zendesk está ligada à alegação do invasor de que, após a exposição do token de autenticação do GitLab, os tokens relacionados não foram substituídos de forma suficiente
Motivação do ataque e risco de circulação dos dados
- Após a violação do Internet Archive, espalharam-se teorias da conspiração dizendo que Israel, o governo dos EUA ou empresas em disputa de direitos autorais estariam por trás do ataque
- Esta violação parece ter acontecido menos por motivos políticos ou financeiros e mais porque o invasor simplesmente conseguia executá-la
- Em comunidades de comércio de dados roubados, existem motivações como as seguintes
- Extorquir a vítima para obter dinheiro
- Vender os dados a outros invasores
- Colecionar dados de violações
- Obter cyber street cred com um vazamento público
- O Internet Archive é um site muito conhecido e extremamente popular, o que ajuda a aumentar a reputação do invasor
- Ninguém assumiu publicamente a autoria desta violação, mas sabe-se que o invasor a executou enquanto conversava em grupo com outras pessoas, e vários indivíduos teriam recebido parte dos dados roubados
- É possível que esse banco de dados já esteja sendo negociado em comunidades de dados de violações e que no futuro acabe vazando gratuitamente em fóruns de hacking como o Breached
1 comentários
Opiniões no Hacker News
É realmente triste ver agentes de ameaça atacando um serviço altruísta como o Internet Archive. Esse tipo de comportamento regressivo desanima
“Quer você estivesse tentando fazer uma pergunta comum, quer estivesse tentando solicitar a remoção de um site da Wayback Machine, seus dados agora estão nas mãos de alguma pessoa aleatória. Se não fosse eu, teria sido outra pessoa.”
Então isso me faz pensar se há sentido na ideia de que um trabalho tão importante não deveria ficar sob responsabilidade de uma única organização
Nesse sentido, cumpre um papel de interesse público ao expor o fato de que uma grande organização que lida com muitos dados de identificação pessoal não se preocupa nem um pouco com segurança
Atividade criminosa é simplesmente atividade criminosa. Lugares que atraem muitos visitantes precisam ter segurança adequada para que seus clientes não virem vítimas
Poderia ter sido pior
Para alguém com conhecimento sólido em segurança da informação, é uma boa oportunidade de oferecer expertise gratuitamente por uma boa causa
A Library of Congress deveria preservar a internet e também ter orçamento para isso
Isso combina com a missão da “Library of Congress”. Ter um registro preciso do que havia na internet em determinado momento ajuda em discussões sobre legislação ou regulação relacionadas à internet
Segundo a Wikipedia[2], é baseada em Heritrix e Wayback, ambos desenvolvidos pelo Internet Archive. O post do blog também menciona o “Wayback software”. O material preservado atualmente pode ser visto aqui: http://webarchive.loc.gov/
[0] https://www.loc.gov/programs/web-archiving/about-this-progra...
[1] https://blogs.loc.gov/thesignal/2023/08/the-web-archiving-te...
[2] https://en.m.wikipedia.org/wiki/List_of_Web_archiving_initia...
Precisamos de um arquivo baseado em armazenamento distribuído. Gosto do trabalho do Internet Archive e o apoio, mas preservar a história é importante demais para ficar nas mãos de uma única organização, ou seja, de um único ponto de falha
O IA também tentou distribuir o armazenamento, mas, na prática, não houve gente suficiente disposta a oferecer seu próprio espaço de armazenamento como se dizia
https://www.lockss.org/
É um ótimo sistema que depende de um protocolo de consenso aleatório. Eu queria usá-lo como tema de artigo em segurança da informação, mas o modelo de segurança era tão bem projetado que não havia nada que eu pudesse acrescentar
Se dados diferentes sempre recebem referências diferentes, fica fácil saber se há backup suficiente. Quando o mesmo nome aponta para um monte de snapshots feitos sob condições diferentes, é difícil ter certeza de qual é exatamente o alvo que queremos fazer backup sob aquele nome
Os dados são grandes, mas não tão grandes quanto o Archive.org: https://libgen.is/repository_torrent/. Ainda assim, é preciso dinheiro para manter esses nós distribuídos, e o objetivo principal parece ser resiliência
Mas, quando perguntei a algumas equipes de arquivo, incluindo o IA, se teriam interesse em usá-lo, não recebi resposta ou recebi apenas respostas negativas
Alguém sabe quem está mirando o Internet Archive e por quê? Tenho a impressão de que os ataques são sofisticados demais para serem apenas vandalismo de brincadeira
Além disso, sua missão principal é espalhar dados, não escondê-los para gerar lucro
A fonte original dessa sabedoria antiga, para quem não conhece a analogia do saleiro:
https://web.archive.org/web/20060619131835/http://xelios.liv...
Para traduções, escolha qualquer uma:
https://malaya-zemlya.livejournal.com/697779.html
https://personal-view.com/talks/discussion/25915/humor-hacke...
https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
Não seria surpreendente se eles fossem bem relaxados com segurança, achando que quase ninguém teria motivo para atacá-los
Cada um pode tirar a conclusão que achar mais fundamentada, mas, para mim, isso tem muito cheiro de órgão estatal
Não sei qual é o modelo de financiamento deles, mas, se houver caixa, acho que contratar uma equipe de segurança deveria ser a prioridade máxima de investimento
Que tipo de vândalo ataca uma biblioteca? Eles realmente precisam encontrar o responsável
A triste realidade é que muita gente é atacada injustamente na internet e, por falta de foco investigativo e de recursos, uma boa parte fica impune
Imagino um mundo em que advogados mandem alguns dólares para o IA toda vez que um snapshot do Wayback Machine ajudar em um processo. Assim eles logo conseguiriam bancar uma equipe de administradores de nível mundial
Se o estado passado de uma página web é importante, você precisa de um registro que não desapareça só porque a outra parte pediu. perma.cc é exatamente esse conceito
Enviei meu currículo há quase um ano e não tive resposta nenhuma até ontem. Parece que agora estão vasculhando candidaturas acumuladas em busca de gente para ajudar
Para todos que acham que precisamos de uma alternativa melhor ao IA, ou acreditam que existe outra solução, ou que outra organização deveria operá-la: ninguém impediu o surgimento de alternativas concorrentes
Como o IA já fez e compartilhou esse trabalho, vocês ainda têm um ponto de partida adiantado; é só tentar