Галоўны архіў інтэрнэту ўжо двойчы быў узламаны ў кастрычніку, і хакеры дагэтуль захоўваюць доступ да яго сістэм. Нягледзячы на спробы аднавіць бяспеку, даныя больш як 31 мільёна карыстальнікаў застаюцца пад пагрозай. Матывы хакераў дагэтуль не ясныя.
Галоўны архіў інтэрнэту ўжо двойчы быў узламаны ў кастрычніку, і хакеры дагэтуль захоўваюць доступ да яго сістэм. Нягледзячы на спробы аднавіць бяспеку, даныя больш як 31 мільёна карыстальнікаў застаюцца пад пагрозай. Матывы хакераў дагэтуль не ясныя.
9 кастрычніка Тhe Internet Archive сутыкнуўся з сур’ёзнай кібератакай. Першымі ўзлом заўважылі наведвальнікі сайта archive.org, так як хакеры стварылі JavaScript-апавяшчэнне з заявай, што сайт скампраметаваны. «Вам ніколі не здавалася, што Internet Archive працуе на чэсным слове і ўвесь час знаходзіцца на мяжы катастрафічнага парушэння бяспекі? Менавіта гэта толькі што адбылося. Убачымся з 31 млн з вас на HIBP», — абвяшчала паведамленне. Зламыснікам удалося выкрасці аўтэнтыфікацыйныя токены GitLab і даныя 31 мільёна карыстальнікаў, а таксама скампраметаваць акаўнт арганізацыі на платформе Zendesk.
HIBP — сэрвіс Have I Been Pwned, які збірае інфармацыю аб уцечках даных. Заснавальнік рэсурсу Трой Хант паведаміў, што за дзевяць дзён да ўзлому зламыснікі падзяліліся з ім аўтэнтыфікацыйнай базай дадных Internet Archive: гэта быў SQL-файл (ia_users.sql) памерам 6,4 ГБ. База даных уключала інфармацыю аб аўтэнтыфікацыі зарэгістраваных карыстальнікаў: адрасы электроннай пошты, нікнэймы, часавыя пазнакі змены пароляў, хэшаваныя bcrypt-паролі і іншую ўнутраную інфармацыю.
Самая апошняя пазнака ў базе датаваная 28 верасня 2024 года. Мяркуецца, што менавіта тады сістэмы платформы былі ўзламаныя. Хант неадкладна звязаўся з прадстаўнікамі Internet Archive і расказаў ім, што атрыманая ад хакераў база даных будзе загружаная ў HIBP на працягу 72 гадзін. Але ён не атрымаў адказу ад арганізацыі.
Як адзначае Bleeping Computer, фактычна быі дзве адначасовыя атакі: Узлом сэрвісу і магутная DDoS-атака. Адказнасць за апошнюю ўзяла на сябе прапалесцінская група SN_BlackMeta. Выданне падкрэслівае, што атакі не былі звязаныя. Крадзеж даных і ўзлом сэрвісу здзейсніў ананімны хакер. Яго раззлавала, што СМІ няправільна прыпісалі яго дзеянні SN_BlackMeta, і вырашыў расказаць журналістам пра сябе.
Пасля атакі карыстальнікам сталі прыходзіць адказы на старыя запыты па выдаленні кантэнту з Internet Archive. Паведамленні былі напісаныя зламыснікамі, у лістах гаварылася, што платформа ўзламаная, паколькі нядбайна абыходзілася са сваімі аўтэнтыфікацыйнымі токенамі.
«Гнятлівае відовішча: нават пасля таго, як некалькі тыдняў таму стала вядома аб узломе, IA так і не праявіла належнай абачлівасці і не абнавіла многіх ключоў API, якія былі раскрытыя ў сакрэтах на іх GitLab. Як паказвае гэта паведамленне, сярод іх быў токен Zendesk з правамі доступу да 800K+ цікетаў падтрымкі, адпраўленых на [email protected] ад 2018 года. [Не важна] ці спрабавалі вы задаць нейкае пытанне альбо папрасілі выдаліць ваш сайт з машыны Wayback, цяпер вашыя даныя знаходзяцца ў руках нейкага рандамнага хлопца. Калі б гэта не зрабіў я, гэта зрабіў бы нехта іншы», — сказана ў лісце.
Лісты прайшлі ўсе праверкі аўтэнтычнасці (DKIM, DMARC і SPF). Гэта азначае, што яны былі адпраўленыя праз аўтарызаваны сервер Zendesk з IP-адраса 192.161.151.10. Такім чынам, хакеры не толькі захоўваюць доступ да сістэмы, але і могуць выкарыстоўваць яе ў сваіх мэтах.
Выданне BleepingComputer неаднаразова спрабавала папярэдзіць Internet Archive аб існуючых уразлівасцях і прапаноўвала сваю дапамогу ў растлумачэнні дэталяў узлому, але так і не атрымала адказу. Зыходных код быў скрадзены праз аўтэнтыфікацыйны токен GitLab, які «свяціўся» ў сеціве на працягу двух гадоў.
На дадзены момант інтэрнэт-архіў павольна аднаўляе свае сэрвісы. Паводле слоў заснавальніка архіва Брустэра Кейла, каманда працуе кругласутачна. Некаторыя функцыі ўжо адноўленыя, уключаючы Wayback Machine, але пакуль у рэжыме «толькі для чытання». Поўнае аднаўленне ўсіх сэрвісаў і даных запатрабуе больш часу. Кейл прызнаў у інтэрв’ю The Washington Post, што прычыны нападаў застаюцца няяснымі. «Навошта біць ката?» — здзіўляецца заснавальнік сэрвісу.
Інцыдэнт з узломам прывёў да з’яўлення мноства тэорый пра тое, хто стаіць за атакай і навошта гэта было зроблена. Некаторыя сцвярджалі, што гэта зрабіў Ізраіль, урад ЗША або карпарацыі ў іх трывалай барацьбе з Internet Archive праз парушэнне аўтарскіх правоў. Bleeping Computer лічыць гэтыя тэорыі непраўдападобнымі.
Паводле слоў ананімнага хакера, ён атакаваў платформы не дзеля палітычнай або фінансавай выгады, а проста таму, што гэта было магчыма. У кіберзлачынным асяроддзі існуе канкурэнцыя за аўтарытэт, калі хакеры імкнуцца прадэманстраваць свае магчымасці, здзяйсняючы гучныя атакі.
Паводле даных выдання, у часе атакі ўзломшчык быў у чаце з іншымі хакерамі і выхваляўся зробленым. Удзельнікі перапіскі маглі атрымаць частку выкрадзеных звестак. Пакуль база Internet Archive прадаецца ў закрытым рэжыме, але аналітыкі мяркуюць, што неўзабаве мы ўбачым яе ў адкрытым доступе.
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.
Это был Дробкин или как там его
Я