Internet Archive fue vulnerado nuevamente, esta vez en su plataforma de soporte por correo electrónico Zendesk, después de repetidas advertencias de que los actores de amenazas robaron tokens de autenticación de GitLab expuestos.
Desde anoche, BleepingComputer ha recibido numerosos mensajes de personas que recibieron respuestas a sus antiguas solicitudes de eliminación de Internet Archive, advirtiendo que la organización ha sido vulnerada ya que no rotaron correctamente sus tokens de autenticación robados.
“Es desalentador ver que incluso después de ser informados sobre la brecha hace semanas, IA aún no ha hecho la debida diligencia de rotar muchas de las claves API que fueron expuestas en sus secretos de gitlab”, se lee en un correo electrónico del actor de la amenaza.
“Como se demuestra con este mensaje, esto incluye un token de Zendesk con permisos para acceder a más de 800,000 tickets de soporte enviados a info@archive.org desde 2018.”
“Ya sea que estuvieras tratando de hacer una pregunta general o solicitando la eliminación de tu sitio de la Wayback Machine, tus datos ahora están en manos de algún tipo al azar. Si no soy yo, sería alguien más.”
Los encabezados de correo electrónico en estos mensajes también pasan todas las verificaciones de autenticación DKIM, DMARC y SPF, lo que demuestra que fueron enviados por un servidor Zendesk autorizado en 192.161.151.10.
Estos correos electrónicos llegan después de que BleepingComputer intentara repetidamente advertir a Internet Archive que su código fuente fue robado a través de un token de autenticación de GitLab que estuvo expuesto en línea durante casi dos años.
Tokens de autenticación de GitLab expuestos
El 9 de octubre, BleepingComputer informó que Internet Archive fue afectado por dos ataques diferentes al mismo tiempo la semana pasada: una violación de datos donde se robaron los datos de usuario del sitio de 33 millones de usuarios y un ataque DDoS por parte de un grupo pro-palestino llamado SN_BlackMeta.
Aunque ambos ataques ocurrieron en el mismo período, fueron realizados por diferentes actores de amenazas. Sin embargo, muchos medios informaron incorrectamente que SN_BlackMeta estaba detrás de la violación en lugar de solo los ataques DDoS.
Esta información errónea frustró al actor de la amenaza detrás de la violación de datos real, quien contactó a BleepingComputer a través de un intermediario para reclamar el crédito por el ataque y explicar cómo violaron Internet Archive.
El actor de la amenaza le dijo a BleepingComputer que la violación inicial de Internet Archive comenzó cuando encontraron un archivo de configuración de GitLab expuesto en uno de los servidores de desarrollo de la organización, services-hls.dev.archive.org.
BleepingComputer pudo confirmar que este token ha estado expuesto desde al menos diciembre de 2022, rotándolo varias veces desde entonces.
El actor de la amenaza dice que este archivo de configuración de GitLab contenía un token de autenticación que les permitía descargar el código fuente de Internet Archive.
El hacker dice que este código fuente contenía credenciales y tokens de autenticación adicionales, incluidas las credenciales para el sistema de gestión de bases de datos de Internet Archive. Esto permitió al actor de la amenaza descargar la base de datos de usuarios de la organización, más código fuente y modificar el sitio.
El actor de la amenaza afirmó haber robado 7TB de datos de Internet Archive, pero no compartiría ninguna muestra como prueba.
BleepingComputer intentó contactar a Internet Archive numerosas veces, tan recientemente como el viernes, ofreciendo compartir lo que sabíamos sobre cómo ocurrió la violación y por qué se hizo, pero nunca recibimos una respuesta.
Vulnerado por credibilidad cibernética
Después de que Internet Archive fue vulnerado, abundaron las teorías de conspiración sobre por qué fue atacado.
Algunos dijeron que lo hizo Israel, el gobierno de los Estados Unidos o corporaciones en su batalla continua con Internet Archive por infracción de derechos de autor.
Sin embargo, Internet Archive no fue vulnerado por razones políticas o monetarias, sino simplemente porque el actor de la amenaza pudo hacerlo.
Existe una gran comunidad de personas que trafican con datos robados, ya sea que lo hagan por dinero extorsionando a la víctima, vendiéndolo a otros actores de amenazas o simplemente porque son coleccionistas de violaciones de datos.
Estos datos a menudo se liberan de forma gratuita para ganar credibilidad cibernética, aumentando su reputación entre otros actores de amenazas en esta comunidad, ya que todos compiten por quién tiene los ataques más significativos y publicitados.
En el caso de Internet Archive, no había dinero que ganar tratando de extorsionar a la organización. Sin embargo, como un sitio web conocido y extremadamente popular, definitivamente aumentó la reputación de una persona entre esta comunidad.
Aunque nadie ha reclamado públicamente esta violación, a BleepingComputer se le dijo que se hizo mientras el actor de la amenaza estaba en un chat grupal con otros, y muchos recibieron algunos de los datos robados.
Es probable que esta base de datos ahora se esté intercambiando entre otras personas en la comunidad de violación de datos, y probablemente la veremos filtrada de forma gratuita en el futuro en foros de hacking como Breached.
Fuente: Bleeping Computer
