O Internet Archive foi alvo de uma nova violação de segurança, desta vez através de sua plataforma de suporte por e-mail Zendesk, após repetidos alertas sobre a exposição de tokens de autenticação do GitLab.
Usuários começaram a receber respostas a solicitações antigas de remoção do Internet Archive, informando que a organização havia sido comprometida devido à falha em rotacionar corretamente seus tokens de autenticação roubados.
"É preocupante que, mesmo após tomar conhecimento da violação há semanas, o Internet Archive não tenha realizado a devida diligência para rotacionar diversas chaves de API expostas nos segredos do GitLab", afirmou o agente de ameaça em uma mensagem.
"Como evidenciado por esta mensagem, isso inclui um token do Zendesk com permissões para acessar mais de 800 mil tickets de suporte enviados para info@archive.org desde 2018."
O e-mail prossegue alertando que, se o usuário fez uma pergunta geral ou solicitou a remoção de conteúdos da Wayback Machine, essas informações podem estar nas mãos de terceiros mal-intencionados. O autor da mensagem também destaca que, se ele não for o responsável pelo uso indevido dos dados, outra pessoa pode acabar sendo.
Os cabeçalhos desses e-mails passaram em todas as verificações de autenticação DKIM, DMARC e SPF, confirmando que foram enviados de um servidor autorizado do Zendesk.
Outro ponto preocupante é que alguns usuários, ao solicitarem a remoção de páginas da Wayback Machine, foram obrigados a fazer upload de documentos de identificação pessoal. Dependendo das permissões do token comprometido, o agente de ameaça pode ter acesso a esses anexos, caso tenha usado o Zendesk para baixar tickets de suporte.
O alerta surge após diversas tentativas de aviso ao Internet Archive sobre o roubo de seu código-fonte por meio de um token de autenticação do GitLab exposto por quase dois anos.
Tokens de autenticação do GitLab expostos
Em outubro, foi revelado que o Internet Archive sofreu dois ataques distintos na mesma semana: uma violação de dados, na qual informações de 33 milhões de usuários foram comprometidas, e um ataque DDoS reivindicado por um grupo pró-palestino chamado SN_BlackMeta. Embora ambos os incidentes tenham ocorrido simultaneamente, foram conduzidos por agentes de ameaça diferentes, o que gerou confusão na cobertura inicial, levando alguns meios de comunicação a reportarem incorretamente que o grupo SN_BlackMeta era responsável por ambos os ataques.
A violação inicial teve início com a descoberta de um arquivo de configuração do GitLab exposto em um dos servidores de desenvolvimento do Internet Archive. Este arquivo continha um token de autenticação que permitia ao invasor baixar o código-fonte da organização. A partir daí, o agente de ameaça obteve acesso a credenciais adicionais, incluindo as do sistema de gerenciamento de banco de dados, o que possibilitou o roubo de dados de usuários, modificação do site e acesso a outros sistemas internos.
O agente de ameaça alegou ter roubado 7 TB de dados, embora não tenha fornecido amostras para comprovar a alegação. Entre os dados comprometidos estavam os tokens de acesso à API do sistema de suporte Zendesk do Internet Archive.
Motivação por reputação entre hackers
Após a violação do Internet Archive, surgiram várias teorias sobre as motivações do ataque, incluindo especulações de que poderia ter sido motivado por questões políticas ou financeiras, como a luta contínua entre o Internet Archive e corporações por questões de direitos autorais. No entanto, a verdadeira motivação parece ter sido simplesmente a oportunidade de explorar uma falha de segurança.
Na comunidade hacker, existe uma competição para obter credibilidade através de ataques bem-sucedidos e amplamente divulgados. O roubo de dados, além de potencialmente lucrativo, é frequentemente liberado gratuitamente para aumentar a reputação dos responsáveis entre outros agentes de ameaça.
Embora o responsável pela violação do Internet Archive não tenha se identificado publicamente, acredita-se que os dados roubados estejam circulando entre membros da comunidade de violação de dados e, eventualmente, possam ser vazados em fóruns de hackers.
Via - BC
Comentarios