Интернет Архив беше атакуван от хакери, изпращащи имейли

Интернет Архивът, известна некомерсиална дигитална библиотека и дом на Wayback Machine, наскоро беше цел на многократни кибератаки, което доведе до значителни прекъсвания на услугите за потребителите.В ново развитие, организацията претърпя нарушение на своята електронна платформа за поддръжка Zendesk. Това нарушение настъпи след повторени предупреждения относно кражбата на обнажени GitLab удостоверяващи маркери (tokens) от злонамерени актьори, както е докладвано от BleepingComputer (BC).

В неделя сутрин, The Verge съобщи, че е получило имейл от „Екипа на Интернет Архива“ в отговор на запитване, изпратено на 9-ти октомври.

Обаче, изглежда, че този имейл не е бил изпратен от официалния екип за поддръжка, а по-скоро е бил авторизиран от хакерите, които преди това бяха компрометирали сайта, което предполага, че те все още имат достъп до системите на организацията.

Потребителите в subreddit на Internet Archive също са съобщили, че са получили подобни отговори, което увеличава опасенията за сигурността.

BC също докладваха, че са получили множество съобщения от потребители, които са били предупредени за нарушението чрез отговори на стари искания за премахване. Много от тези известия предупреждаваха, че Internet Archive не беше ефективно променил украдените токени за удостоверяване.

Един имейл от хакера към BC изрази разочарование, като заяви: „Обезсърчаващо е да видиш, че дори след като бяха информирани за нарушението преди седмици, IA все още не са извършили задължителната проверка и смяна на многото API ключове, които бяха изложени в тайните им gitlab.“

Миналата седмица, хакери нарушиха сигурността на Internet Archive, публикувайки чувствителна информация, принадлежаща на милиони потребители, и обезобразиха сайта със съобщение, подиграващо организацията за работата й с ограничен бюджет, отбеляза The Washington Post.

За да предотвратят допълнителни утечки, екипът на Internet Archive реши да изключи сайта, включително и много използваната машина Wayback, както беше отбелязано от The Post.

Основателят Брустър Кахле разкри, че това е първият път за почти 30 години, когато сайтът преживява прекъсване продължило повече от няколко часа, както отбеляза The Post.

BC твърди, че преди това е докладвало, че Интернет Архивът е бил подложен на едновременни атаки през предходната седмица: нарушение на данните, засягащо потребителските данни на 33 милиона акаунта, и атака от типа Разпределено Отказване на Услуга (DDoS), организирана от група наречена SN_BlackMeta.

Въпреки че и двата инцидента се случиха в един и същ времеви интервал, те бяха изпълнени от различни заплахи. Много медии по погрешка приписаха нарушението на данните на SN_BlackMeta, смесвайки двете атаки, отбелязва BC.

Тази неправилна представа разочарова истинският извършител на нарушението на данните, което ги подтикна да се свържат с BC. Те поеха отговорността за пробива и предоставиха подробности за начина, по който проникнаха в Архива на Интернет.

Според нападателите, нарушението произлезе от откриването на изложен конфигурационен файл на GitLab на един от сървърите за разработка на организацията. BC потвърдиха, че този токен е бил публично достъпен от поне декември 2022 г., като е бил ротиран няколко пъти оттогава.

Хакерите твърдят, че този конфигурационен файл на GitLab съдържаше аутентификационен токен, който им позволи да изтеглят изходния код на Internet Archive, който в своя ред включваше допълнителни идентификационни данни и аутентификационни токени, включително тези за системата за управление на базата данни на организацията.

Този достъп им позволи да изтеглят потребителската база данни, допълнителен изходен код и дори да модифицират сайта. Те твърдят, че са откраднали 7ТБ данни от Internet Archive, но не предоставиха примери като доказателство, както е съобщено от BC.

Сега вече е потвърдено, че откраднатите данни включват и API достъпни токени за системата за поддръжка на Zendesk на Internet Archive. BC заяви, че се е опитал да се свърже с Internet Archive многократно, последно на петък, за да обсъди нарушението и неговите последствия, но не е получил отговор.

Според The Verge, екипът на Internet Archive работи без престой през целия ден в различни времеви зони, за да възстанови услугите. В блог пост от 17 октомври, Кахле указа, че сайтът очаква възвръщане на повече услуги в „идващите дни“, въпреки че първоначално в режим само за четене, тъй като пълното възстановяване може да отнеме допълнително време.

Причините зад последните кибератаки на сайта остават неясни, казва The Verge. Forbes предполага, че мотивацията зад тези нарушения изглежда е повече за репутацията, отколкото за финанси.

The Post отбелязва, че Internet Archive е се сблъскало с правни предизвикателства в миналото, включително съдебни искове от издатели на книги и музикални лейбъли за дигитализация на авторско материал, което организацията твърди, че е допустимо за некомерсиални архивни цели.

Post отразява, че Kahle предупреждава, че потенциалните санкции от тези искове, които могат да достигнат стотици милиони долари, представляват значителна заплаха за оцеляването на Internet Archive.

Докато тези съдебни дела продължават, Internet Archive сега се сблъсква с двойното предизвикателство да управлява правни спорове и да противодейства на кибер заплахи.

Организацията преживя атака от типа DDoS през май, което доведе до прекъсвания в работата. Кале спомена за The Post, че това беше първият случай на насочена атака срещу сайта през цялата му история.