The Internet Archive

Internet Archiveが再び侵入され、今度はZendeskの電子メールサポートプラットフォームで、脅威行為者が公開されたGitLab認証トークンを盗んだという警告が繰り返された。

昨晩から、古いInternet Archiveの削除リクエストに対する返信を受け取った人々から、盗まれた認証トークンを正しくローテーションしていなかったため、組織が侵害されたと警告するメッセージが多数届いている。

“数週間前に侵害を知らされた後でも、IAがgitlabの秘密で公開されたAPIキーの多くをローテーションするというデューディリジェンスをまだ行っていないのを見て、落胆している。

“このメッセージで示されているように、これには2018年以降にinfo@archive.org に送信された800K以上のサポートチケットにアクセスするためのパーミッションを持つZendeskトークンが含まれています。”

“あなたが一般的な質問をしようとしていたにせよ、Wayback Machineからのあなたのサイトの削除を要求していたにせよ、あなたのデータは今、どこかのランダムな男の手の中にある。私でなくても、他の誰かでしょう。”

Internet Archive Zendesk emails sent by the threat actor
脅威行為者
Source によって送信された Internet Archive Zendesk の電子メール

これらのメールのメールヘッダーは、DKIM、DMARC、SPF 認証チェックもすべてパスしており、192.161.151.10 にある Zendesk の正規サーバーから送信されたことが証明されています。

Internet Archive Zendesk email headers
Internet Archive Zendesk email headers
ソースは こちら:

この記事を公開した後、これらのメールの受信者から、Wayback Machineからのページの削除を要求する際に、個人識別情報をアップロードする必要があると聞きました。

ZendeskへのAPIアクセス権や、サポートチケットをダウンロードするためにAPIを使用したかどうかによって、脅威者はこれらの添付ファイルにもアクセスできる可能性があります。

これらのメールは、Internet ArchiveがGitLab認証トークンを使ってソースコードを盗まれていることを警告しようと、約2年間オンライン上に公開され続けた後に送られてきたものです。

暴露されたGitLab認証トークン

10月9日、Internet Archiveは先週、3300万人分のユーザーデータが盗まれるデータ侵害と、SN_BlackMetaという親パレスチナ派グループによるDDoS攻撃という2つの異なる攻撃を同時に受けたと報じた。

両攻撃は同じ期間に発生したが、異なる脅威アクターによって行われた。しかし、多くの報道機関は、DDoS攻撃だけではなく、SN_BlackMetaが情報漏洩の背後にいたと誤って報じた。

JavaScript alert on Internet Archive warning about the breach
侵害について警告するInternet ArchiveのJavaScriptアラート
ソースは こちら:

この誤った報道は、実際のデータ侵害の背後にいた脅威行為者を苛立たせました。脅威行為者は、攻撃の手柄を主張し、どのようにInternet Archiveに侵入したかを説明するために、仲介者を通じて連絡を取りました。

脅威行為者は、Internet Archiveへの最初の侵入は、同組織の開発サーバーの1つであるservices-hls.dev.archive.orgで、公開されたGitLab設定ファイルを見つけたことから始まったと話した。

このトークンは少なくとも2022年12月から公開されており、その後何度もローテーションしていることが確認できました。

Exposed Internet Archive GitLab authentication token
暴露されたInternet Archive GitLab認証トークン
ソースは こちら:

このGitLabの設定ファイルには、Internet Archiveのソースコードをダウンロードするための認証トークンが含まれていたと脅威者は述べています。

ハッカーによると、このソースコードにはInternet Archiveのデータベース管理システムの認証情報を含む、追加の認証情報と認証トークンが含まれていました。これにより、脅威者は同組織のユーザーデータベース、さらなるソースコードをダウンロードし、サイトを修正することができた。

脅威者はInternet Archiveから7TBのデータを盗んだと主張したが、証拠としてサンプルを共有することはなかった。

しかし、盗まれたデータにはInternet ArchiveのZendeskサポートシステムのAPIアクセストークンも含まれていたことが判明した。

Internet Archiveに何度も連絡を取り、最近も金曜日に、情報漏えいが起きた経緯とその理由について知っていることを共有したいと申し出たが、回答は得られなかった。

サイバーストリートクレジットのための侵害

インターネット・アーカイブが侵入された後、攻撃された理由については陰謀論が飛び交った。

イスラエルがやったとか、アメリカ政府がやったとか、著作権侵害をめぐってInternet Archiveと現在進行形で争っている企業がやったとか。

しかし、インターネット・アーカイブが攻撃されたのは、政治的あるいは金銭的な理由ではなく、単に脅威の主体が攻撃できたからである。

被害者を恐喝して金銭を得るためであれ、他の脅威行為者に売るためであれ、単にデータ侵害のコレクターであるためであれ、盗まれたデータを売買する人々の大きなコミュニティが存在する。

このようなデータは、サイバーストリートクレジットを得るために無料で公開されることが多くこのコミュニティ内の他の脅威アクターの間で評判を高め、誰が最も重要で最も公表された攻撃をしているかを競っています。

インターネット・アーカイブの場合、この組織を恐喝しようとしても儲けはない。しかし、有名で非常に人気のあるウェブサイトであるため、このコミュニティーの中でその人物の評判が上がったことは間違いない。

この侵入を公に主張する者はいなかったが、脅威行為者が他の者とグループチャットをしている間に行われ、多くの者が盗まれたデータの一部を受け取ったと言われている。

このデータベースは現在、データ侵害コミュニティの他の人々の間で取引されている可能性が高く、今後、Breachedのようなハッキング・フォーラムで無料で流出するのを目にすることになるだろう。

更新10/20/24:Internet Archiveに削除を依頼する際、個人IDをアップロードしなければならなかった人がいたことを追記。