1 puntos por GN⁺ 2024-10-21 | 1 comentarios | Compartir por WhatsApp
  • Internet Archive seguía teniendo un problema de tokens de autenticación expuestos incluso después de la filtración de datos y el DDoS anteriores, y esta vez también fue comprometido su sistema de soporte por correo electrónico de Zendesk
  • El atacante afirmó haber obtenido un token de Zendesk con acceso a más de 800.000 tickets de soporte recibidos en info@archive.org desde 2018, y los correos enviados pasaron las verificaciones DKIM, DMARC y SPF
  • La intrusión inicial comenzó con tokens expuestos en un archivo de configuración de GitLab de un servidor de desarrollo, y se confirmó que esos tokens estaban expuestos al menos desde diciembre de 2022
  • El código fuente robado incluía credenciales de sistemas de administración de bases de datos y tokens adicionales, por lo que posiblemente se accedió a la base de datos de usuarios y a permisos para modificar el sitio
  • El ataque parece estar más relacionado con ganar cyber street cred que con motivos políticos o económicos, y persiste el riesgo de que los datos robados circulen en comunidades de datos filtrados o foros de hacking

La intrusión llegó hasta el sistema de soporte de Zendesk

  • Internet Archive volvió a ser comprometido, esta vez a través de la plataforma de soporte por correo electrónico Zendesk
  • Varios usuarios que anteriormente habían enviado solicitudes de eliminación a Internet Archive recibieron respuestas, y el mensaje advertía que la organización no había reemplazado correctamente los tokens de autenticación robados
  • El correo del atacante indicaba que Internet Archive no había rotado varias claves de API expuestas en los secrets de GitLab, incluso después de haber detectado la intrusión semanas atrás
  • El atacante afirmó que el token de Zendesk daba acceso a más de 800.000 tickets de soporte enviados a info@archive.org desde 2018
  • Se confirmó que los encabezados de esos correos pasaron todas las verificaciones de autenticación DKIM, DMARC y SPF, y que fueron enviados desde un servidor autorizado de Zendesk en 192.161.151.10

Posible exposición de archivos adjuntos en tickets de soporte

  • Algunos usuarios tuvieron que subir documentos de identidad personales al solicitar la eliminación de páginas de Wayback Machine
  • Si el atacante descargó tickets de soporte mediante acceso a la API de Zendesk, también podría haber accedido a esos archivos adjuntos
  • Zendesk cuenta con una API para consultar archivos adjuntos de tickets, y el alcance real de la exposición depende de los permisos de API que tuviera el atacante y de si los usó

Exposición de tokens de GitLab y ataque anterior

  • El 9 de octubre, Internet Archive sufrió dos ataques en el mismo periodo
    • Una filtración de datos en la que fueron robados datos de 33 millones de usuarios del sitio
    • Un ataque DDoS de un grupo que afirma tener una postura propalestina llamado SN_BlackMeta
  • Aunque ambos ataques ocurrieron en el mismo periodo, fueron realizados por atacantes distintos
  • Varios medios señalaron erróneamente a SN_BlackMeta como responsable de la filtración de datos, pero el atacante real de esa filtración contactó por separado a BleepingComputer para explicar el método de ataque
  • La intrusión inicial comenzó en un archivo de configuración de GitLab expuesto en services-hls.dev.archive.org, un servidor de desarrollo de Internet Archive
  • Se confirmó que ese token de GitLab había estado expuesto al menos desde diciembre de 2022 y que posteriormente fue rotado varias veces

Accesos adicionales a partir del código fuente

  • El atacante afirmó que, con el token de autenticación del archivo de configuración de GitLab, pudo descargar el código fuente de Internet Archive
  • El atacante sostuvo que encontró credenciales y tokens de autenticación adicionales dentro del código fuente
  • Entre ellos estaban credenciales del sistema de administración de bases de datos de Internet Archive, que según dijo permitieron los siguientes accesos
    • Descargar la base de datos de usuarios de la organización
    • Descargar código fuente adicional
    • Modificar el sitio
  • El atacante afirmó haber robado 7 TB de datos de Internet Archive, pero no compartió muestras como prueba
  • Más tarde se reveló que los datos robados también incluían un token de acceso a la API para el sistema de soporte Zendesk de Internet Archive

Brechas en la respuesta pese a advertencias repetidas

  • BleepingComputer contactó varias veces a Internet Archive para ofrecer compartir el modo en que ocurrió la intrusión y la motivación del atacante
  • El contacto más reciente fue el viernes, pero no recibió respuesta
  • Esta intrusión en Zendesk se vincula con la afirmación del atacante de que, tras la exposición del token de autenticación de GitLab, no se reemplazaron de forma suficiente los tokens relacionados

Motivación del ataque y riesgo de circulación de los datos

  • Tras la intrusión en Internet Archive, se difundieron teorías conspirativas que apuntaban a Israel, al gobierno de Estados Unidos o a empresas en disputa por derechos de autor como responsables
  • Esta intrusión parece haber ocurrido más porque el atacante podía ejecutarla que por razones políticas o económicas
  • En las comunidades de comercio de datos robados existen motivaciones como las siguientes
    • Extorsionar a las víctimas para obtener dinero
    • Vender datos a otros atacantes
    • Recopilar datos filtrados
    • Ganar cyber street cred mediante filtraciones públicas
  • Internet Archive es un sitio web muy conocido y extremadamente popular, por lo que ayuda a elevar la reputación del atacante
  • Aunque nadie ha reivindicado públicamente esta intrusión, se sabe que el atacante la llevó a cabo mientras estaba en un chat grupal con otras personas, y que varias personas recibieron parte de los datos robados
  • Es posible que esa base de datos se esté comerciando en comunidades de datos filtrados, y que en el futuro pueda filtrarse gratuitamente en foros de hacking como Breached

1 comentarios

 
GN⁺ 2024-10-21
Opiniones de Hacker News
  • Es realmente triste ver a actores de amenazas atacar un servicio altruista como Internet Archive. Este tipo de conducta regresiva desmoraliza.

    • No es que quiera defender al atacante; veo a IA como un bien público. Dicho eso, uno de los mensajes de este caso también puede leerse como un intento de señalar un problema que IA pasó por alto.
      “Ya fuera que intentaras hacer una pregunta general o solicitar la eliminación de un sitio en Wayback Machine, tus datos ahora están en manos de una persona cualquiera. Si no hubiera sido yo, habría sido alguien más.”
      Así que me hace pensar si tiene sentido decir que una sola organización no debería cargar con la responsabilidad de algo tan importante.
    • Dado que mucha gente está profundamente metida en la doctrina de los derechos de propiedad imaginarios y depende de eso para ganarse la vida, tampoco es algo tan sorprendente.
    • Visto de otra forma, quizá deberíamos agradecer que fuera el tipo de gente que vulneró IA y aun así lo hizo público, exigiendo que arreglaran el sistema. Otro atacante podría simplemente haberlo destruido, haber cambiado contenido en secreto o haber hecho algo aún peor que podamos imaginar.
      En la medida en que expone que una organización enorme que maneja mucha información de identificación personal no se preocupa en absoluto por la seguridad, está cumpliendo una función de interés público.
    • Cualquier lugar con mucho tráfico se convierte en objetivo. Importa más el alcance potencial que lo que haga la organización.
      Un delito es simplemente un delito. Los sitios que atraen a muchos visitantes deben contar con seguridad adecuada para que sus clientes no se conviertan en víctimas.
    • Parece que el atacante solo buscaba prestigio callejero, y la segunda intrusión se ve como una señal de recordatorio de que IA no corrigió bien las cosas después de la primera intrusión.
      Pudo haber sido peor.
  • Para alguien con conocimientos sólidos de seguridad informática, es una buena oportunidad para ofrecer experiencia profesional gratis por una buena causa.

    • A estas alturas, seguro que están recibiendo tantas ofertas de ese tipo que se están perdiendo entre todas.
    • Llegados a este punto, habría que considerar una reescritura desde cero. Sospecho que están operando con una pila tecnológica de alrededor de 1992.
  • La Library of Congress debería preservar Internet y también contar con presupuesto para hacerlo.
    Encaja con la misión de la “Library of Congress”. Tener un registro exacto de qué había en Internet en un momento dado ayudaría al debatir legislación o regulación relacionada con Internet.

  • Necesitamos un archivo basado en almacenamiento distribuido. Me gusta y apoyo el trabajo de Internet Archive, pero preservar la historia es demasiado importante como para dejarlo solo en manos de una organización, es decir, de un único punto de falla.

    • Cada vez que aparece una publicación así, alguien lo menciona al menos una vez en los comentarios.
      IA también intentó distribuir el almacenamiento, pero no hubo suficiente gente dispuesta a aportar espacio propio en la práctica, más allá de las palabras.
    • Existe el enfoque de “muchas copias mantienen los materiales seguros”.
      https://www.lockss.org/
      Es un sistema excelente que depende de un protocolo de consenso aleatorio. Quise usarlo como tema para un trabajo de seguridad informática, pero el modelo de seguridad estaba tan bien diseñado que no tenía nada que agregar.
    • Para hacer que la web sea favorable a los archivos distribuidos, creo que los destinos deberían referenciarse por hashes, no por rutas que un servidor sugiere que va a servir de forma consistente, pero que en realidad muestran datos distintos en cada momento por todo tipo de razones.
      Si datos diferentes siempre reciben referencias diferentes, es fácil saber si hay suficientes respaldos. Si un mismo nombre apunta a un montón de snapshots tomados bajo condiciones distintas, es difícil tener certeza de qué queremos respaldar respecto de ese nombre.
    • LibGen y Sci-Hub son ejemplares en este sentido. Usan bien la tecnología adecuada para su propósito: torrents + IPFS + espejos HTTP simples por todas partes.
      Los datos son grandes, aunque no tanto como Archive.org: https://libgen.is/repository_torrent/. Aun así, hace falta financiamiento para esos nodos distribuidos, y el objetivo principal parece ser la resiliencia.
    • Diseñé un sistema en el que, si dices “donaré 2 TB de espacio libre en mi disco a Internet Archive”, IA te envía 2 TB de datos. Este sistema también tiene la propiedad de poder reconstruirse incluso si IA u otros proveedores desaparecen.
      Pero cuando pregunté a varios equipos de archivo, incluido IA, si les interesaba usarlo, no recibí respuesta o solo respuestas negativas.
  • ¿Alguien sabe quién está apuntando contra Internet Archive y por qué? Me da la impresión de que los ataques son demasiado sofisticados como para ser simples vándalos bromistas.

    • Simplemente parece como orinar en el salero. Internet Archive claramente es una estructura que se sostiene con cinta adhesiva y fuerza de voluntad individual. Claro, es cinta adhesiva resistente y duradera.
      Además, su misión principal es difundir datos, no esconderlos para generar ingresos.
      Para quien no conozca la analogía del salero, aquí está el texto original de esa sabiduría antigua:
      https://web.archive.org/web/20060619131835/http://xelios.liv...
      Elige cualquier traducción:
      https://malaya-zemlya.livejournal.com/697779.html
      https://personal-view.com/talks/discussion/25915/humor-hacke...
      https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
    • No sé por qué te da esa impresión. Por los mensajes de los atacantes, todos parecen vándalos bromistas, y tampoco vi señales de que los sistemas de IA parezcan Fort Knox.
      Para empezar, no me sorprendería que hayan sido bastante laxos con la seguridad, pensando que casi no había razones para que alguien los atacara.
    • El grupo que afirmó haber realizado el primer hackeo supuestamente tenía base en Rusia, era antiestadounidense y propalestino, y dijo que el motivo del ataque eran las violaciones de copyright de IA.
      Cada quien puede sacar conclusiones mejor fundamentadas, pero a mí me huele mucho a agencia gubernamental.
    • Al ver tantos comentarios pidiendo un cambio de liderazgo, una teoría de sombrero de aluminio sería que parece un intento organizado para forzar un cambio de liderazgo.
    • Tal vez hackers de sombrero blanco le avisaron a IA sobre problemas de seguridad y fueron ignorados, así que hackearon de una forma que no parece haber causado daños graves para obligarlos a tomar medidas.
  • No sé cuál sea su modelo de financiamiento, pero si tienen efectivo, creo que contratar un equipo de seguridad debería ser la prioridad número uno de inversión.

    • Al menos en este momento, el modelo de financiamiento de IA probablemente se parece más a sudar frío mientras espera un enorme fallo judicial.
  • ¿Qué clase de vándalo ataca una biblioteca? Realmente hay que encontrar a los responsables.

    • Este tipo de ataques en Internet les ocurren todo el tiempo a niños que administran servidores de Minecraft, pequeños negocios, programadores aficionados, etc. Encontrar a los responsables muchas veces es difícil o imposible, y agencias como el FBI suelen dedicar recursos a casos más grandes, como narcotráfico o ciberdelitos centrados en extorsión.
      La triste realidad es que en Internet hay mucha gente atacada injustamente, y por falta de foco investigativo y recursos, muchos casos quedan impunes.
    • ¿Quién se beneficia con este ataque? ¿Quién presionó para que IA retirara libros?
  • Imagino un mundo en el que, cada vez que una captura de Wayback Machine ayuda en un juicio, los abogados le mandan unos dólares a IA. Así podrían costear rápidamente un equipo de administradores de nivel mundial.

    • Esa es una solución terrible. Wayback Machine retira capturas si lo solicita quien controla el dominio. Eso no es un archivo.
      Si el estado pasado de una página web es importante, necesitas un registro que no desaparezca porque la otra parte lo pida. perma.cc es justamente ese concepto.
  • Envié mi currículum hace casi un año y no recibí ninguna respuesta hasta ayer. Parece que ahora están revisando solicitudes atrasadas para encontrar gente que ayude.

  • Para todos los que creen que necesitamos una alternativa mejor que IA, o que existe otra solución, o que otra organización debería operarlo: nadie ha impedido que surjan alternativas competidoras.
    Gracias al trabajo que IA ya hizo y compartió, incluso tienen un punto de partida adelantado, así que inténtenlo ustedes mismos.