Kryzys w Internet Archive. Doszło do kolejnego ataku

Środa 10 października zszokowała wszystkich informacją o atakach wymierzonych w Internet Archive. Pierwszy z nich był typowym DDoSem, drugi zaś doprowadził do wycieku danych logowania 33 mln użytkowników portalu. W tym drugim przypadku hakerzy doprowadzili do wyświetlenia monitu z informacją „Do zobaczenia na HIBP (Have I Been Pwned – red.)!” przy każdym załadowaniu strony.

Efektem podwójnego cyberataku było całkowite wyłączenie portalu przez właścicieli i rozpoczęcie długiego procesu naprawczego. Wayback Machine, archiwum stron internetowych sprzed lat, powróciło najszybciej – obecnie, oprócz niego dostępny jest blog fundacji Internet Archive oraz strona ArchiveIt. Pozostałe usługi nadal są niedostępne.

Poważne problemy Internet Archive

Jak informuje BleepingComputer, blisko dwa tygodnie po incydentach, miał miejsce kolejny atak związany z organizacją. Za pośrednictwem wykradzionych przez hakerów tokenów weryfikacyjnych z GitLab, jednemu z aktorów zagrożeń udało się uzyskać dostęp do platformy wsparcia Zendesk prowadzonej przez IA, a następnie wysyłać wiadomości e-mail do autorów zgłoszeń. 

To przygnębiające, że pomimo wydarzeń sprzed kilku tygodniu, Internet Archive nadal nie podmieniło ujawnionych kluczy API. Wśród nich znalazł się token Zendesk z uprawnieniami dostępu do ponad 800 tysięcy zgłoszeń wysłanych na adres info(małpa)archive.org od 2018 roku. Niezależnie od tego, czy próbowałeś zadać ogólne pytanie, czy zażądać usunięcia swojej witryny z Wayback Machine, Twoje dane są teraz w rękach jakiegoś przypadkowego faceta.
Wiadomość wysłana za pośrednictwem Zendesk Internet Archive

Z dostępnych informacji wynika, że poprzez „dane” należy w tym przypadku rozumieć informacje personalne wymagane przy tworzeniu zgłoszenia przez Zendesk. Dotyczyło to każdej sytuacji, np. żądania usunięcia strony z Wayback Machine. Tokeny miały z kolei zostać ujawnione już w grudniu 2022 roku, zaś Internet Archive nie reagowało na sygnały dotyczące publicznego dostępu do nich.

Wykradziono 7 terabajtów danych. Cisza ze strony Internet Archive

Co więcej, głos zabrał sam haker odpowiedzialny za atak z 10 października. Jak przekazał portalowi BleepingComputer, wszystko zaczęło się od znalezienia wspomnianych tokenów, które były dostępne w pliku konfiguracyjnym GitLab. Umożliwiło to ściągnięcie kodu źródłowego strony oraz bazy użytkowników, a także modyfikację zawartości strony. Jak twierdzi sprawca, udało mu się wykraść w sumie 7 TB danych.

Samo Internet Archive ogranicza się do krótkich komunikatów dotyczących statusu usług, co po incydencie z helpdeskiem zaniepokoiło część internautów. Jednakże późnym wieczorem w poniedziałek 21 października, organizacja przywróciła do działania główną część portalu - archiwum książek i plików audio oraz wideo. Obecnie działa ono w trybie „tylko do odczytu” - nie jest możliwe m.in. dodawanie nowych pozycji, wypożyczanie pozycji czy ich ocenianie.

Bezpieczeństwo i integralność danych Internet Archive oraz jego patronów pozostają naszymi najważniejszymi priorytetami. Po przeanalizowaniu i opanowaniu incydentu bezpieczeństwa przez nasz zespół, ponownie uruchamiamy usługi w miarę wzmacniania zabezpieczeń. Wysiłki te koncentrują się na wzmocnieniu systemów firewall i dalszej ochronie baz danych
Stanowisko Internet Archive z 21 października

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].