Главный архив интернета уже дважды был взломан в октябре, и хакеры до сих пор сохраняют доступ к его системам. Несмотря на попытки восстановить безопасность, данные более 31 миллиона пользователей остаются под угрозой. Мотивы хакеров до сих пор не ясны.
Главный архив интернета уже дважды был взломан в октябре, и хакеры до сих пор сохраняют доступ к его системам. Несмотря на попытки восстановить безопасность, данные более 31 миллиона пользователей остаются под угрозой. Мотивы хакеров до сих пор не ясны.
9 октября The Internet Archive столкнулся с серьёзной кибератакой. Первыми взлом заметили посетители сайта archive.org, так как хакеры создали JavaScript-оповещение с заявлением, что сайт скомпрометирован. «Вам никогда не казалось, что Internet Archive работает на честном слове и постоянно находится на грани катастрофического нарушения безопасности? Именно это только что произошло. Увидимся с 31 млн из вас на HIBP», — гласило сообщение. Злоумышленникам удалось похитить аутентификационные токены GitLab и данные 31 миллиона пользователей, а также скомпрометировать аккаунт организации на платформе Zendesk.
HIBP — сервис Have I Been Pwned, который собирает информацию об утечках данных. Основатель ресурса Трой Хант сообщил, что за девять дней до взлома злоумышленники поделились с ним аутентификационной базой данных Internet Archive: это был SQL-файл (ia_users.sql) размером 6,4 ГБ. База данных включала информацию об аутентификации зарегистрированных пользователей: адреса электронной почты, никнеймы, временные метки смены паролей, хешированные bcrypt-пароли и другую внутреннюю информацию.
Самая последняя метка в базе датирована 28 сентября 2024 года. Предполагается, что именно тогда системы платформы были взломаны. Хант немедленно связался с представителями Internet Archive и рассказал им, что полученная от хакеров база данных будет загружена в HIBP в течение 72 часов. Но он не получил ответа от организации.
Как отмечает Bleeping Computer, фактически было две одновременных атаки: взлом сервиса и мощная DDoS-атака. Ответственность за последнюю взяла на себя пропалестинская группа SN_BlackMeta. Издание подчеркивает, что атаки не были связаны. Кражу данных и взлом сервиса совершил анонимный хакер. Его разозлило, что СМИ неверно приписали его действия SN_BlackMeta, и решил рассказать журналистам о себе.
Хакер сообщил журналистам, что нашел доступный файл конфигурации GitLab на одном из серверов организации (services-hls.dev.archive.org). Этот токен действительно был доступен посторонним с декабря 2022 года, он неоднократно менялся. По словам анонима, файл конфигурации содержал аутентификационный токен, который позволял загрузить исходный код, а также дополнительные токены, в том числе от системы управления базой данных Internet Archive. В итоге злоумышленник сказал базу, исходный код и дефейснул сайт. Всего он похитил 7 ТБ данных, но отказался предоставить образцы для доказательства.
После атаки пользователям стали приходить ответы на старые запросы по удалению контента из Internet Archive. Сообщения были написаны злоумышленниками, в письмах говорилось, что платформа взломана, поскольку небрежно обращалась со своими аутентификационными токенами.
«Удручающее зрелище: даже после того, как несколько недель назад стало известно о взломе, IA так и не проявила должной осмотрительности и не обновила многие ключи API, которые были раскрыты в секретах на их GitLab. Как показывает это сообщение, среди них был токен Zendesk с правами доступа к 800K+ тикетам поддержки, отправленным на [email protected] с 2018 года. [Неважно] пытались ли вы задать какой-то вопрос или попросили удалить ваш сайт из Wayback Machine, теперь ваши данные находятся в руках какого-то рандомного парня. Если бы это не сделал я, это сделал бы кто-то другой», — сказано в письме.
Письма прошли все проверки аутентичности (DKIM, DMARC и SPF). Это означает, что они были отправлены через авторизованный сервер Zendesk с IP-адреса 192.161.151.10. Таким образом, хакеры не только сохраняют доступ к системе, но и могут использовать её в своих целях.
Издание BleepingComputer неоднократно пыталось предупредить Internet Archive о существующих уязвимостях и предлагало свою помощь в разъяснении деталей взлома, но так и не получило ответа. Исходных код был украден через аутентификационный токен GitLab, который «светился» в сети в течение двух лет.
На данный момент Интернет-архив медленно восстанавливает свои сервисы. По словам основателя архива Брюстера Кейла, команда работает круглосуточно. Некоторые функции уже восстановлены, включая Wayback Machine, но пока в режиме «только для чтения». Полное восстановление всех сервисов и данных потребует больше времени. Кейл признал в интервью The Washington Post, что причины атак остаются неясными. «Зачем пинать кота?» — недоумевает основатель сервиса.
Инцидент с взломом привёл к появлению множества теорий о том, кто стоит за атакой и зачем это было сделано. Некоторые утверждали, что это сделал Израиль, правительство США или корпорации в их продолжающейся борьбе с Internet Archive из-за нарушения авторских прав. Bleeping Computer считает эти теории неправдоподобными.
По словам анонимного хакера, он атаковал платформы не ради политической или финансовой выгоды, а просто потому, что это было возможно. В киберпреступной среде существует конкуренция за авторитет, когда хакеры стремятся продемонстрировать свои возможности, совершая громкие атаки.
По данным издания, во время атаки взломщик состоял в чате с другими хакерами и хвастался содеянным. Участники переписки могли получить часть похищенных данных. Пока база Internet Archive продается в закрытом режиме, но аналитики полагают, что скоро мы увидим ее в открытом доступе.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.
Это был Дробкин или как там его
Я