Internet Archive vuelve a sufrir una intrusión por tokens de acceso robados
(bleepingcomputer.com)- Internet Archive seguía teniendo un problema de tokens de autenticación expuestos incluso después de la filtración de datos y el DDoS anteriores, y esta vez también fue comprometido su sistema de soporte por correo electrónico de Zendesk
- El atacante afirmó haber obtenido un token de Zendesk con acceso a más de 800.000 tickets de soporte recibidos en info@archive.org desde 2018, y los correos enviados pasaron las verificaciones DKIM, DMARC y SPF
- La intrusión inicial comenzó con tokens expuestos en un archivo de configuración de GitLab de un servidor de desarrollo, y se confirmó que esos tokens estaban expuestos al menos desde diciembre de 2022
- El código fuente robado incluía credenciales de sistemas de administración de bases de datos y tokens adicionales, por lo que posiblemente se accedió a la base de datos de usuarios y a permisos para modificar el sitio
- El ataque parece estar más relacionado con ganar cyber street cred que con motivos políticos o económicos, y persiste el riesgo de que los datos robados circulen en comunidades de datos filtrados o foros de hacking
La intrusión llegó hasta el sistema de soporte de Zendesk
- Internet Archive volvió a ser comprometido, esta vez a través de la plataforma de soporte por correo electrónico Zendesk
- Varios usuarios que anteriormente habían enviado solicitudes de eliminación a Internet Archive recibieron respuestas, y el mensaje advertía que la organización no había reemplazado correctamente los tokens de autenticación robados
- El correo del atacante indicaba que Internet Archive no había rotado varias claves de API expuestas en los secrets de GitLab, incluso después de haber detectado la intrusión semanas atrás
- El atacante afirmó que el token de Zendesk daba acceso a más de 800.000 tickets de soporte enviados a info@archive.org desde 2018
- Se confirmó que los encabezados de esos correos pasaron todas las verificaciones de autenticación DKIM, DMARC y SPF, y que fueron enviados desde un servidor autorizado de Zendesk en 192.161.151.10
Posible exposición de archivos adjuntos en tickets de soporte
- Algunos usuarios tuvieron que subir documentos de identidad personales al solicitar la eliminación de páginas de Wayback Machine
- Si el atacante descargó tickets de soporte mediante acceso a la API de Zendesk, también podría haber accedido a esos archivos adjuntos
- Zendesk cuenta con una API para consultar archivos adjuntos de tickets, y el alcance real de la exposición depende de los permisos de API que tuviera el atacante y de si los usó
Exposición de tokens de GitLab y ataque anterior
- El 9 de octubre, Internet Archive sufrió dos ataques en el mismo periodo
- Una filtración de datos en la que fueron robados datos de 33 millones de usuarios del sitio
- Un ataque DDoS de un grupo que afirma tener una postura propalestina llamado SN_BlackMeta
- Aunque ambos ataques ocurrieron en el mismo periodo, fueron realizados por atacantes distintos
- Varios medios señalaron erróneamente a SN_BlackMeta como responsable de la filtración de datos, pero el atacante real de esa filtración contactó por separado a BleepingComputer para explicar el método de ataque
- La intrusión inicial comenzó en un archivo de configuración de GitLab expuesto en services-hls.dev.archive.org, un servidor de desarrollo de Internet Archive
- Se confirmó que ese token de GitLab había estado expuesto al menos desde diciembre de 2022 y que posteriormente fue rotado varias veces
Accesos adicionales a partir del código fuente
- El atacante afirmó que, con el token de autenticación del archivo de configuración de GitLab, pudo descargar el código fuente de Internet Archive
- El atacante sostuvo que encontró credenciales y tokens de autenticación adicionales dentro del código fuente
- Entre ellos estaban credenciales del sistema de administración de bases de datos de Internet Archive, que según dijo permitieron los siguientes accesos
- Descargar la base de datos de usuarios de la organización
- Descargar código fuente adicional
- Modificar el sitio
- El atacante afirmó haber robado 7 TB de datos de Internet Archive, pero no compartió muestras como prueba
- Más tarde se reveló que los datos robados también incluían un token de acceso a la API para el sistema de soporte Zendesk de Internet Archive
Brechas en la respuesta pese a advertencias repetidas
- BleepingComputer contactó varias veces a Internet Archive para ofrecer compartir el modo en que ocurrió la intrusión y la motivación del atacante
- El contacto más reciente fue el viernes, pero no recibió respuesta
- Esta intrusión en Zendesk se vincula con la afirmación del atacante de que, tras la exposición del token de autenticación de GitLab, no se reemplazaron de forma suficiente los tokens relacionados
Motivación del ataque y riesgo de circulación de los datos
- Tras la intrusión en Internet Archive, se difundieron teorías conspirativas que apuntaban a Israel, al gobierno de Estados Unidos o a empresas en disputa por derechos de autor como responsables
- Esta intrusión parece haber ocurrido más porque el atacante podía ejecutarla que por razones políticas o económicas
- En las comunidades de comercio de datos robados existen motivaciones como las siguientes
- Extorsionar a las víctimas para obtener dinero
- Vender datos a otros atacantes
- Recopilar datos filtrados
- Ganar cyber street cred mediante filtraciones públicas
- Internet Archive es un sitio web muy conocido y extremadamente popular, por lo que ayuda a elevar la reputación del atacante
- Aunque nadie ha reivindicado públicamente esta intrusión, se sabe que el atacante la llevó a cabo mientras estaba en un chat grupal con otras personas, y que varias personas recibieron parte de los datos robados
- Es posible que esa base de datos se esté comerciando en comunidades de datos filtrados, y que en el futuro pueda filtrarse gratuitamente en foros de hacking como Breached
1 comentarios
Opiniones de Hacker News
Es realmente triste ver a actores de amenazas atacar un servicio altruista como Internet Archive. Este tipo de conducta regresiva desmoraliza.
“Ya fuera que intentaras hacer una pregunta general o solicitar la eliminación de un sitio en Wayback Machine, tus datos ahora están en manos de una persona cualquiera. Si no hubiera sido yo, habría sido alguien más.”
Así que me hace pensar si tiene sentido decir que una sola organización no debería cargar con la responsabilidad de algo tan importante.
En la medida en que expone que una organización enorme que maneja mucha información de identificación personal no se preocupa en absoluto por la seguridad, está cumpliendo una función de interés público.
Un delito es simplemente un delito. Los sitios que atraen a muchos visitantes deben contar con seguridad adecuada para que sus clientes no se conviertan en víctimas.
Pudo haber sido peor.
Para alguien con conocimientos sólidos de seguridad informática, es una buena oportunidad para ofrecer experiencia profesional gratis por una buena causa.
La Library of Congress debería preservar Internet y también contar con presupuesto para hacerlo.
Encaja con la misión de la “Library of Congress”. Tener un registro exacto de qué había en Internet en un momento dado ayudaría al debatir legislación o regulación relacionada con Internet.
Según Wikipedia[2], se basa en Heritrix y Wayback, ambos desarrollados por Internet Archive. La publicación del blog también menciona el “Wayback software”. El material preservado actualmente puede verse aquí: http://webarchive.loc.gov/
[0] https://www.loc.gov/programs/web-archiving/about-this-progra...
[1] https://blogs.loc.gov/thesignal/2023/08/the-web-archiving-te...
[2] https://en.m.wikipedia.org/wiki/List_of_Web_archiving_initia...
Necesitamos un archivo basado en almacenamiento distribuido. Me gusta y apoyo el trabajo de Internet Archive, pero preservar la historia es demasiado importante como para dejarlo solo en manos de una organización, es decir, de un único punto de falla.
IA también intentó distribuir el almacenamiento, pero no hubo suficiente gente dispuesta a aportar espacio propio en la práctica, más allá de las palabras.
https://www.lockss.org/
Es un sistema excelente que depende de un protocolo de consenso aleatorio. Quise usarlo como tema para un trabajo de seguridad informática, pero el modelo de seguridad estaba tan bien diseñado que no tenía nada que agregar.
Si datos diferentes siempre reciben referencias diferentes, es fácil saber si hay suficientes respaldos. Si un mismo nombre apunta a un montón de snapshots tomados bajo condiciones distintas, es difícil tener certeza de qué queremos respaldar respecto de ese nombre.
Los datos son grandes, aunque no tanto como Archive.org: https://libgen.is/repository_torrent/. Aun así, hace falta financiamiento para esos nodos distribuidos, y el objetivo principal parece ser la resiliencia.
Pero cuando pregunté a varios equipos de archivo, incluido IA, si les interesaba usarlo, no recibí respuesta o solo respuestas negativas.
¿Alguien sabe quién está apuntando contra Internet Archive y por qué? Me da la impresión de que los ataques son demasiado sofisticados como para ser simples vándalos bromistas.
Además, su misión principal es difundir datos, no esconderlos para generar ingresos.
Para quien no conozca la analogía del salero, aquí está el texto original de esa sabiduría antigua:
https://web.archive.org/web/20060619131835/http://xelios.liv...
Elige cualquier traducción:
https://malaya-zemlya.livejournal.com/697779.html
https://personal-view.com/talks/discussion/25915/humor-hacke...
https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
Para empezar, no me sorprendería que hayan sido bastante laxos con la seguridad, pensando que casi no había razones para que alguien los atacara.
Cada quien puede sacar conclusiones mejor fundamentadas, pero a mí me huele mucho a agencia gubernamental.
No sé cuál sea su modelo de financiamiento, pero si tienen efectivo, creo que contratar un equipo de seguridad debería ser la prioridad número uno de inversión.
¿Qué clase de vándalo ataca una biblioteca? Realmente hay que encontrar a los responsables.
La triste realidad es que en Internet hay mucha gente atacada injustamente, y por falta de foco investigativo y recursos, muchos casos quedan impunes.
Imagino un mundo en el que, cada vez que una captura de Wayback Machine ayuda en un juicio, los abogados le mandan unos dólares a IA. Así podrían costear rápidamente un equipo de administradores de nivel mundial.
Si el estado pasado de una página web es importante, necesitas un registro que no desaparezca porque la otra parte lo pida. perma.cc es justamente ese concepto.
Envié mi currículum hace casi un año y no recibí ninguna respuesta hasta ayer. Parece que ahora están revisando solicitudes atrasadas para encontrar gente que ayude.
Para todos los que creen que necesitamos una alternativa mejor que IA, o que existe otra solución, o que otra organización debería operarlo: nadie ha impedido que surjan alternativas competidoras.
Gracias al trabajo que IA ya hizo y compartió, incluso tienen un punto de partida adelantado, así que inténtenlo ustedes mismos.