L’Archive Internet a de nouveau été piratée, cette fois sur leur plate-forme d’assistance par e-mail Zendesk après des avertissements répétés selon lesquels des acteurs de la menace volaient des jetons d’authentification GitLab exposés.
Depuis la nuit dernière, Breachtrace a reçu de nombreux messages de personnes ayant reçu des réponses à leurs anciennes demandes de suppression d’archives Internet, avertissant que l’organisation avait été piratée car elles n’avaient pas correctement tourné leurs jetons d’authentification volés.
« Il est décourageant de voir que même après avoir été mis au courant de la violation il y a des semaines, IA n’a toujours pas fait preuve de diligence raisonnable pour faire tourner de nombreuses clés d’API qui ont été exposées dans leurs secrets gitlab », lit-on dans un e-mail de l’acteur de la menace.
« Comme le montre ce message, cela inclut un jeton Zendesk avec des perms pour accéder à plus de 800 000 tickets d’assistance envoyés à [email protected] depuis 2018. »
« Que vous essayiez de poser une question générale ou de demander la suppression de votre site de la Wayback Machine, vos données sont maintenant entre les mains d’un gars au hasard. Si ce n’était pas moi, ce serait quelqu’un d’autre. »
Les en-têtes d’e-mails de ces e-mails passent également toutes les vérifications d’authentification DKIM, DMARC et SPF, prouvant qu’ils ont été envoyés par un serveur Zendesk autorisé au 192.161.151.10.
Ces courriels surviennent après que Breachtrace a tenté à plusieurs reprises d’avertir les Archives Internet que leur code source avait été volé via un jeton d’authentification GitLab qui a été exposé en ligne pendant près de deux ans.
Jetons d’authentification GitLab exposés
Le 9 octobre, Breachtrace a rapporté qu’Internet Archive avait été touché par deux attaques différentes à la fois la semaine dernière—une violation de données où les données des utilisateurs du site pour 33 millions d’utilisateurs ont été volées et une attaque DDoS par un groupe pro-palestinien nommé SN_BlackMeta.
Bien que les deux attaques se soient produites au cours de la même période, elles ont été menées par différents acteurs de la menace. Cependant, de nombreux points de vente ont signalé à tort que SN_Black Metal était à l’origine de la violation plutôt que des seules attaques DDoS.
Cette fausse déclaration a frustré l’auteur de la menace à l’origine de la violation de données réelle, qui a contacté Breachtrace par l’intermédiaire d’un intermédiaire pour revendiquer le crédit de l’attaque et expliquer comment ils ont violé les Archives Internet.
L’auteur de la menace a déclaré à Breachtrace que la violation initiale d’Internet Archive avait commencé par la découverte d’un fichier de configuration GitLab exposé sur l’un des serveurs de développement de l’organisation, services-hls.dev.archive.org.
Breachtrace a pu confirmer que ce jeton était exposé depuis au moins décembre 2022, qu’il a fait tourner plusieurs fois depuis lors.
L’auteur de la menace affirme que ce fichier de configuration GitLab contenait un jeton d’authentification lui permettant de télécharger le code source d’Internet Archive.
Le pirate informatique a déclaré que ce code source contenait des informations d’identification et des jetons d’authentification supplémentaires, y compris les informations d’identification du système de gestion de base de données d’Internet Archive. Cela a permis à l’auteur de la menace de télécharger la base de données des utilisateurs de l’organisation, d’ajouter du code source et de modifier le site.
L’auteur de la menace a affirmé avoir volé 7 To de données de l’Internet Archive, mais n’a partagé aucun échantillon comme preuve.
Cependant, nous savons maintenant que les données volées comprenaient également les jetons d’accès à l’API pour le système de support Zendesk d’Internet Archive.
Breachtrace a tenté d’accéder aux Archives Internet à de nombreuses reprises, pas plus tard que vendredi, en proposant de partager ce que nous savions sur la façon dont la violation s’est produite et pourquoi cela a été fait, mais nous n’avons jamais reçu de réponse.
Violé pour cyber street cred
Après la violation des Archives Internet, les théories du complot abondaient sur les raisons pour lesquelles elles avaient été attaquées.
Certains ont dit qu’Israël l’avait fait, le gouvernement des États-Unis ou des entreprises dans leur bataille en cours avec Internet Archive pour violation du droit d’auteur.
Cependant, Internet Archive n’a pas été piraté pour des raisons politiques ou monétaires, mais simplement parce que l’auteur de la menace le pouvait.
Il existe une grande communauté de personnes qui trafiquent des données volées, qu’elles le fassent pour de l’argent en extorquant la victime, en les vendant à d’autres acteurs de la menace ou simplement parce qu’elles sont des collecteurs de violations de données.
Ces données sont souvent publiées gratuitement pour gagner la crédibilité de cyber Street, augmentant leur réputation parmi les autres acteurs de la menace dans cette communauté, car ils se disputent tous pour savoir qui a les attaques les plus importantes et les plus médiatisées.
Dans le cas des Archives Internet, il n’y avait pas d’argent à gagner en essayant d’extorquer l’organisation. Cependant, en tant que site Web bien connu et extrêmement populaire, il a définitivement renforcé la réputation d’une personne au sein de cette communauté.
Bien que personne n’ait publiquement revendiqué cette violation, Breachtrace a été informé que cela avait été fait alors que l’auteur de la menace discutait en groupe avec d’autres personnes, beaucoup recevant certaines des données volées.
Cette base de données est maintenant probablement échangée entre d’autres personnes de la communauté des violations de données, et nous la verrons probablement divulguée gratuitement à l’avenir sur des forums de piratage comme Breached.