В минувшие выходные некоммерческая организация «Архив интернета» (Internet Archive) снова пострадала от хакерской атаки. Злоумышленникам удалось похитить аутентификационные токены GitLab и скомпрометировать Zendesk организации.
Напомним, что в середине октября «Архив интернета» уже подвергся дефейсу, краже данных и мощным DDoS-атакам. Тогда злоумышленники сумели похитить информацию о 31 млн пользователей.
Ответственность за DDoS-атаки взяла на себя пропалестинская хак-группа SN_BlackMeta. Хотя DDoS и взлом Internet Archive происходили практически одновременно, за этими инцидентами стояли разные злоумышленники. То есть дефейс и кража данных никак не связаны с SN_BlackMeta.
Как сообщает теперь издание Bleeping Computer, Internet Archive пострадал еще от одной атаки. В выходные множеству пользователей неожиданно пришли ответы на старые запросы по удалению контента из Internet Archive. Сообщения были написаны злоумышленниками и гласили, что организация взломана, поскольку небрежно обращалась со своими аутентификационными токенами, которые были похищены еще две недели назад, во время первой атаки.
«Удручающее зрелище: даже после того, как несколько недель назад стало известно о взломе, IA так и не проявила должной осмотрительности и не обновила многие ключи API, которые были раскрыты в секретах на их GitLab, — гласит письмо. — Как показывает это сообщение, среди них был токен Zendesk с правами доступа к 800K+ тикетам поддержки, отправленным на info@archive.org с 2018 года. [Неважно] пытались ли вы задать какой-то вопрос или попросили удалить ваш сайт из Wayback Machine, теперь ваши данные находятся в руках какого-то рандомного парня. Если бы это не сделал я, это сделал бы кто-то другой».
Журналисты отмечают, что письма прошли все проверки, аутентификацию DKIM, DMARC и SPF, и были отправлены авторизованным сервером Zendesk с адреса 192.161.151.10.
При этом некоторые читатели сообщили Bleeping Computer, что при запросе на удаление контента из Wayback Machine им приходилось указывать личные данные. Теперь эта информация тоже может находиться в руках злоумышленников, в зависимости от того, какой доступ они имели к Zendesk.
Издание с сожалением отмечает, что неоднократно пыталось предупредить администрацию Internet Archive о том, что их исходный код украден через аутентификационный токен GitLab, который «светился» в сети на протяжении двух лет. Однако журналисты так и не получили ответа от представителей организации.
Дело в том, что человек, взломавший «Архив интернета» в середине октября, сильно расстроился, когда многие СМИ по ошибке приписали взлом упомянутой выше группировке SN_BlackMeta. В итоге хакер связался с Bleeping Computer через посредника, взял на себя ответственность за атаку и объяснил, как проник в Internet Archive.
По словам злоумышленникам, атака Internet Archive началась с того, что он нашел доступный файл конфигурации GitLab на одном из серверов организации (services-hls.dev.archive.org). Изданию удалось подтвердить, что этот токен действительно был доступен посторонним как минимум с декабря 2022 года, причем он неоднократно менялся.
Хакер утверждает, что файл конфигурации содержал аутентификационный токен, позволяющий загрузить исходный код Internet Archive. Якобы эти исходники включали дополнительные учетные данные и аутентификационные токены, в том числе от системы управления БД Internet Archive. В итоге злоумышленник скачал базу данных пользователей, исходные коды и дефейснул сайт.
Согласно заявлениям хакера, в общей сложности он похитил у «Архива интернета» 7 ГБ данных, однако он отказался предоставить журналистам какие-либо образцы в качестве доказательства своих слов. Пока очевидно лишь то, что токены доступа к API Zendesk определенно были среди похищенной информации.
Как отмечает владелец и главный редактор Bleeping Computer Лоренс Абрамс (Lawrence Abrams), после компрометации Internet Archive появилось множество теорий о том, кто мог взломать НКО, и зачем это вообще могло кому-то понадобиться. Так, некоторые полагают, что за атакой стоит Израиль, другие обвиняют правительство США, а третьи подозревают, что на такой шаг могли пойти крупные корпорации, которые давно борются с «Архивом интернета» из-за нарушений авторских прав.
Абрамс пишет, что мотивы злоумышленников не были политическими или финансовыми. По его словам, ресурс взломали просто так, потому что могли. Якобы эта атака помогла повысить репутацию хакера среди других преступников.
К тому же, по данным издания, во время взлома хакер находится в чате с другими людьми, хвастался содеянным, и многие из участников чата тоже могли получить часть похищенных данных. Пока эта БД, вероятно, продается в закрытом режиме, но Абрамс полагает, что рано или поздно мы увидим ее в открытом доступе, когда кто-нибудь решит «слить» ее на хакерских форумах.
