Хто ўзламаў Тhe Internet Archive?

9 кастрычніка Тhe Internet Archive сутыкнуўся з сур’ёзнай кібератакай. Першымі ўзлом заўважылі наведвальнікі сайта archive.org, так як хакеры стварылі JavaScript-апавяшчэнне з заявай, што сайт скампраметаваны. «Вам ніколі не здавалася, што Internet Archive працуе на чэсным слове і ўвесь час знаходзіцца на мяжы катастрафічнага парушэння бяспекі? Менавіта гэта толькі што адбылося. Убачымся з 31 млн з вас на HIBP», — абвяшчала паведамленне. Зламыснікам удалося выкрасці аўтэнтыфікацыйныя токены GitLab і даныя 31 мільёна карыстальнікаў, а таксама скампраметаваць акаўнт арганізацыі на платформе Zendesk.

HIBP — сэрвіс Have I Been Pwned, які збірае інфармацыю аб уцечках даных. Заснавальнік рэсурсу Трой Хант паведаміў, што за дзевяць дзён да ўзлому зламыснікі падзяліліся з ім аўтэнтыфікацыйнай базай дадных Internet Archive: гэта быў SQL-файл (ia_users.sql) памерам 6,4 ГБ. База даных уключала інфармацыю аб аўтэнтыфікацыі зарэгістраваных карыстальнікаў: адрасы электроннай пошты, нікнэймы, часавыя пазнакі змены пароляў, хэшаваныя bcrypt-паролі і іншую ўнутраную інфармацыю.

Самая апошняя пазнака ў базе датаваная 28 верасня 2024 года. Мяркуецца, што менавіта тады сістэмы платформы былі ўзламаныя. Хант неадкладна звязаўся з прадстаўнікамі Internet Archive і расказаў ім, што атрыманая ад хакераў база даных будзе загружаная ў HIBP на працягу 72 гадзін. Але ён не атрымаў адказу ад арганізацыі.

Як адзначае Bleeping Computer, фактычна быі дзве адначасовыя атакі: Узлом сэрвісу і магутная DDoS-атака. Адказнасць за апошнюю ўзяла на сябе прапалесцінская група SN_BlackMeta. Выданне падкрэслівае, што атакі не былі звязаныя. Крадзеж даных і ўзлом сэрвісу здзейсніў ананімны хакер. Яго раззлавала, што СМІ няправільна прыпісалі яго дзеянні SN_BlackMeta, і вырашыў расказаць журналістам пра сябе.

Пасля атакі карыстальнікам сталі прыходзіць адказы на старыя запыты па выдаленні кантэнту з Internet Archive. Паведамленні былі напісаныя зламыснікамі, у лістах гаварылася, што платформа ўзламаная, паколькі нядбайна абыходзілася са сваімі аўтэнтыфікацыйнымі токенамі.

«Гнятлівае відовішча: нават пасля таго, як некалькі тыдняў таму стала вядома аб узломе, IA так і не праявіла належнай абачлівасці і не абнавіла многіх ключоў API, якія былі раскрытыя ў сакрэтах на іх GitLab. Як паказвае гэта паведамленне, сярод іх быў токен Zendesk з правамі доступу да 800K+ цікетаў падтрымкі, адпраўленых на info@archive.org ад 2018 года. [Не важна] ці спрабавалі вы задаць нейкае пытанне альбо папрасілі выдаліць ваш сайт з машыны Wayback, цяпер вашыя даныя знаходзяцца ў руках нейкага рандамнага хлопца. Калі б гэта не зрабіў я, гэта зрабіў бы нехта іншы», — сказана ў лісце.

Лісты прайшлі ўсе праверкі аўтэнтычнасці (DKIM, DMARC і SPF). Гэта азначае, што яны былі адпраўленыя праз аўтарызаваны сервер Zendesk з IP-адраса 192.161.151.10. Такім чынам, хакеры не толькі захоўваюць доступ да сістэмы, але і могуць выкарыстоўваць яе ў сваіх мэтах.

Выданне BleepingComputer неаднаразова спрабавала папярэдзіць Internet Archive аб існуючых уразлівасцях і прапаноўвала сваю дапамогу ў растлумачэнні дэталяў узлому, але так і не атрымала адказу. Зыходных код быў скрадзены праз аўтэнтыфікацыйны токен GitLab, які «свяціўся» ў сеціве на працягу двух гадоў.

На дадзены момант інтэрнэт-архіў павольна аднаўляе свае сэрвісы. Паводле слоў заснавальніка архіва Брустэра Кейла, каманда працуе кругласутачна. Некаторыя функцыі ўжо адноўленыя, уключаючы Wayback Machine, але пакуль у рэжыме «толькі для чытання». Поўнае аднаўленне ўсіх сэрвісаў і даных запатрабуе больш часу. Кейл прызнаў у інтэрв’ю The Washington Post, што прычыны нападаў застаюцца няяснымі. «Навошта біць ката?» — здзіўляецца заснавальнік сэрвісу.

Інцыдэнт з узломам прывёў да з’яўлення мноства тэорый пра тое, хто стаіць за атакай і навошта гэта было зроблена. Некаторыя сцвярджалі, што гэта зрабіў Ізраіль, урад ЗША або карпарацыі ў іх трывалай барацьбе з Internet Archive праз парушэнне аўтарскіх правоў. Bleeping Computer лічыць гэтыя тэорыі непраўдападобнымі.

Паводле слоў ананімнага хакера, ён атакаваў платформы не дзеля палітычнай або фінансавай выгады, а проста таму, што гэта было магчыма. У кіберзлачынным асяроддзі існуе канкурэнцыя за аўтарытэт, калі хакеры імкнуцца прадэманстраваць свае магчымасці, здзяйсняючы гучныя атакі.

Паводле даных выдання, у часе атакі ўзломшчык быў у чаце з іншымі хакерамі і выхваляўся зробленым. Удзельнікі перапіскі маглі атрымаць частку выкрадзеных звестак. Пакуль база Internet Archive прадаецца ў закрытым рэжыме, але аналітыкі мяркуюць, што неўзабаве мы ўбачым яе ў адкрытым доступе.