Internet Archive erneut über gestohlene Zugriffstoken kompromittiert
(bleepingcomputer.com)- Das Internet Archive wurde nach dem früheren Datenleck und den DDoS-Angriffen erneut kompromittiert, da das Problem mit offengelegten Authentifizierungstoken bestehen blieb – diesmal sogar bis in das E-Mail-Supportsystem von Zendesk hinein
- Der Angreifer erklärte, ein Zendesk-Token erlangt zu haben, mit dem auf mehr als 800.000 Support-Tickets zugegriffen werden kann, die seit 2018 an info@archive.org gesendet wurden; die versandten E-Mails bestanden DKIM-, DMARC- und SPF-Prüfungen
- Die ursprüngliche Kompromittierung begann mit einem in einer GitLab-Konfigurationsdatei auf einem Entwicklungsserver offengelegten Token; bestätigt wurde, dass dieses Token mindestens seit Dezember 2022 exponiert war
- Der gestohlene Quellcode soll Zugangsdaten für das Datenbankverwaltungssystem und weitere Token enthalten haben, wodurch möglicherweise auch Zugriff auf die Benutzerdatenbank und Rechte zur Änderung der Website möglich waren
- Der Angriff wirkt eher wie der Versuch, cyber street cred zu gewinnen, als politisch oder finanziell motiviert zu sein; zugleich bleibt das Risiko bestehen, dass die erbeuteten Daten in Communities für kompromittierte Daten oder Hacking-Foren zirkulieren
Kompromittierung bis ins Zendesk-Supportsystem
- Das Internet Archive wurde diesmal erneut über die Zendesk-E-Mail-Supportplattform kompromittiert
- Mehrere Nutzer, die dem Internet Archive früher Löschanfragen geschickt hatten, erhielten Antworten, in denen gewarnt wurde, dass die Organisation gestohlene Authentifizierungstoken nicht ordnungsgemäß ersetzt habe
- In der E-Mail des Angreifers hieß es, das Internet Archive habe auch Wochen nach Kenntnis der Kompromittierung mehrere in GitLab-Secrets offengelegte API-Schlüssel nicht rotiert
- Der Angreifer erklärte, das Zendesk-Token gewähre Zugriff auf mehr als 800.000 Support-Tickets, die seit 2018 an info@archive.org gesendet wurden
- Die Header dieser E-Mails bestanden die Prüfungen für DKIM, DMARC und SPF und wurden nachweislich von einem autorisierten Zendesk-Server unter 192.161.151.10 versendet
Mögliche Offenlegung von Anhängen in Support-Tickets
- Einige Nutzer mussten beim Beantragen der Entfernung von Seiten aus der Wayback Machine persönliche Ausweisdokumente hochladen
- Falls der Angreifer Support-Tickets über den Zendesk-API-Zugriff heruntergeladen hat, könnte er auch auf diese Anhänge zugegriffen haben
- Zendesk bietet eine API zum Abruf von Ticket-Anhängen; der tatsächliche Umfang einer Offenlegung hängt von den API-Berechtigungen des Angreifers und deren Nutzung ab
Offenlegung des GitLab-Tokens und frühere Angriffe
- Am 9. Oktober war das Internet Archive zeitgleich Ziel von zwei Angriffen
- einer Datenpanne, bei der Nutzerdaten von 33 Millionen Website-Nutzern gestohlen wurden
- einem DDoS-Angriff durch eine Gruppe namens SN_BlackMeta, die angibt, pro-palästinensisch zu sein
- Beide Angriffe fanden im selben Zeitraum statt, wurden aber von unterschiedlichen Angreifern durchgeführt
- Mehrere Medien berichteten fälschlich, SN_BlackMeta stecke hinter dem Datenleck; tatsächlich kontaktierte der eigentliche Angreifer BleepingComputer separat und erläuterte die Vorgehensweise
- Die ursprüngliche Kompromittierung begann mit einer offengelegten GitLab-Konfigurationsdatei auf dem Entwicklungsserver des Internet Archive, services-hls.dev.archive.org
- Bestätigt wurde, dass dieses GitLab-Token mindestens seit Dezember 2022 offengelegt war und danach mehrfach rotiert wurde
Weiterer Zugriff über den Quellcode
- Der Angreifer erklärte, dass sich mit dem Authentifizierungstoken aus der GitLab-Konfigurationsdatei der Quellcode des Internet Archive herunterladen ließ
- Im Quellcode habe der Angreifer weitere Zugangsdaten und Authentifizierungstoken gefunden
- Dazu gehörten auch Zugangsdaten für das Datenbankverwaltungssystem des Internet Archive, die laut Angreifer Folgendes ermöglichten
- Herunterladen der Benutzerdatenbank der Organisation
- Herunterladen weiteren Quellcodes
- Änderungen an der Website
- Der Angreifer behauptete, 7 TB an Daten vom Internet Archive gestohlen zu haben, teilte dafür aber keine Belegproben
- Später stellte sich heraus, dass sich unter den gestohlenen Daten auch ein API-Zugriffstoken für das Zendesk-Supportsystem des Internet Archive befand
Reaktionslücken trotz wiederholter Warnungen
- BleepingComputer kontaktierte das Internet Archive mehrfach und bot an, Details zur Art der Kompromittierung und zu den Motiven zu teilen
- Der jüngste Kontaktversuch erfolgte am Freitag, blieb jedoch unbeantwortet
- Die aktuelle Zendesk-Kompromittierung steht im Zusammenhang mit der Behauptung des Angreifers, dass nach der Offenlegung der GitLab-Authentifizierungstoken nicht alle relevanten Token ausreichend ersetzt wurden
Motiv des Angriffs und Risiko der Datenverbreitung
- Nach der Kompromittierung des Internet Archive verbreiteten sich Verschwörungstheorien, wonach Israel, die US-Regierung oder in Urheberrechtsstreitigkeiten stehende Unternehmen dahinterstecken könnten
- Dieser Vorfall wirkt jedoch eher so, als sei er erfolgt, weil der Angreifer ihn ausführen konnte, und nicht aus politischen oder finanziellen Gründen
- In Communities für den Handel mit gestohlenen Daten gibt es Motive wie
- Erpressung der Opfer, um Geld zu erhalten
- Verkauf der Daten an andere Angreifer
- Sammlung kompromittierter Daten
- öffentliches Leak zur Steigerung der cyber street cred
- Das Internet Archive ist eine bekannte und sehr populäre Website, was dem Ruf eines Angreifers zugutekommen kann
- Öffentlich hat niemand die aktuelle Kompromittierung für sich beansprucht, doch der Angreifer soll sie in einem Gruppenchat zusammen mit anderen durchgeführt haben, und mehrere Personen sollen Teile der erbeuteten Daten erhalten haben
- Es ist möglich, dass die Datenbank bereits in Communities für kompromittierte Daten gehandelt wird und künftig in Hacking-Foren wie Breached kostenlos veröffentlicht werden könnte
1 Kommentare
Meinungen auf Hacker News
Es ist wirklich traurig, Threat Actors zu sehen, die einen so altruistischen Dienst wie das Internet Archive angreifen. Solch regressives Verhalten demoralisiert
„Ob du eine allgemeine Frage stellen oder die Entfernung einer Website aus der Wayback Machine beantragen wolltest: Deine Daten sind jetzt in den Händen irgendeiner beliebigen Person. Wäre ich es nicht gewesen, wäre es jemand anderes gewesen.“
Deshalb frage ich mich, ob an dem Argument etwas dran ist, dass eine so wichtige Aufgabe nicht nur in der Verantwortung einer einzigen Organisation liegen sollte
Insofern erfüllt es eine Art öffentliches Interesse, offenzulegen, dass eine große Organisation, die viele personenbezogene Daten verarbeitet, sich überhaupt nicht um Sicherheit kümmert
Kriminelles Verhalten ist einfach kriminelles Verhalten. Orte, die viele Besucher anziehen, müssen angemessen abgesichert sein, damit ihre Kunden nicht zu Opfern werden
Es hätte schlimmer kommen können
Für jemanden mit soliden Kenntnissen in Informationssicherheit wäre das eine gute Gelegenheit, kostenlos Expertise für einen guten Zweck bereitzustellen
Die Library of Congress sollte das Internet bewahren und dafür auch ein Budget haben
Das passt auch zur Mission einer „Library of Congress“. Eine genaue Aufzeichnung dessen, was zu einem bestimmten Zeitpunkt im Internet vorhanden war, hilft bei Diskussionen über internetbezogene Gesetzgebung oder Regulierung
Laut Wikipedia[2] basiert es auf Heritrix und Wayback, die beide vom Internet Archive entwickelt wurden. Der Blogbeitrag erwähnt ebenfalls „Wayback software“. Die derzeit archivierten Bestände sind hier zu sehen: http://webarchive.loc.gov/
[0] https://www.loc.gov/programs/web-archiving/about-this-progra...
[1] https://blogs.loc.gov/thesignal/2023/08/the-web-archiving-te...
[2] https://en.m.wikipedia.org/wiki/List_of_Web_archiving_initia...
Wir brauchen ein Archiv auf Basis von verteiltem Speicher. Ich mag und unterstütze die Arbeit des Internet Archive, aber die Bewahrung von Geschichte ist zu wichtig, um sie einer einzelnen Organisation und damit einem Single Point of Failure zu überlassen
IA hat ebenfalls versucht, Speicher zu verteilen, aber es gab nicht genug Leute, die tatsächlich eigenen Speicherplatz bereitgestellt haben, wie oft behauptet wird
https://www.lockss.org/
Ein hervorragendes System, das auf einem zufallsbasierten Konsensprotokoll beruht. Ich wollte es zum Thema einer InfoSec-Arbeit machen, aber das Sicherheitsmodell war so gut entworfen, dass ich nichts Sinnvolles hinzufügen konnte
Wenn unterschiedliche Daten immer unterschiedliche Referenzen haben, lässt sich leichter erkennen, ob es genug Backups gibt. Wenn derselbe Name auf einen Haufen Snapshots verweist, die unter unterschiedlichen Bedingungen entstanden sind, ist schwer zu wissen, was genau wir unter diesem Namen eigentlich sichern wollen
Die Datenmenge ist groß, aber nicht so groß wie bei Archive.org: https://libgen.is/repository_torrent/. Trotzdem braucht es Geld für solche verteilten Nodes, und das Hauptziel scheint Resilienz zu sein
Als ich jedoch einige Archiv-Teams, darunter IA, fragte, ob sie es nutzen wollten, erhielt ich entweder keine Antwort oder nur negative Rückmeldungen
Weiß jemand, wer es auf das Internet Archive abgesehen hat und warum? Die Angriffe wirken auf mich zu ausgefeilt, um sie einfach als Vandalismus aus Spaß abzutun.
Außerdem besteht die Hauptaufgabe darin, Daten zu verbreiten, nicht darin, Daten zu verstecken, um Gewinn zu machen.
Für alle, die die Salzstreuer-Analogie nicht kennen, hier die ursprüngliche alte Weisheit:
https://web.archive.org/web/20060619131835/http://xelios.liv...
Übersetzung nach Belieben auswählen:
https://malaya-zemlya.livejournal.com/697779.html
https://personal-view.com/talks/discussion/25915/humor-hacke...
https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
Es wäre nicht überraschend, wenn sie bei der Sicherheit ziemlich locker waren, weil sie von vornherein davon ausgingen, dass es kaum Gründe gibt, sie ins Visier zu nehmen.
Jeder kann seine eigenen, besser begründeten Schlüsse ziehen, aber für mich riecht das stark nach staatlicher Stelle.
Ich kenne ihr Finanzierungsmodell nicht, aber wenn Geld vorhanden ist, sollte die Einstellung eines Security-Teams meiner Meinung nach die wichtigste Investition sein.
Was für ein Vandale greift eine Bibliothek an? Die Verantwortlichen müssen wirklich gefunden werden.
Die traurige Realität ist, dass viele Menschen im Internet zu Unrecht angegriffen werden und wegen mangelnder Ermittlungspriorität und knapper Ressourcen ein erheblicher Teil ungestraft bleibt.
Ich stelle mir eine Welt vor, in der Anwälte dem IA jedes Mal ein paar Dollar schicken, wenn ein Wayback-Machine-Snapshot in einem Gerichtsverfahren hilft. Dann könnten sie sich schnell ein Admin-Team von Weltklasse leisten.
Wenn der frühere Zustand einer Webseite wichtig ist, braucht man einen Nachweis, der nicht verschwindet, nur weil die Gegenseite darum bittet. perma.cc ist genau dieses Konzept.
Ich habe vor fast einem Jahr meinen Lebenslauf geschickt und bis gestern keinerlei Antwort bekommen. Es sieht so aus, als würden sie jetzt die aufgelaufenen Bewerbungen durchgehen, um helfende Hände zu finden.
An alle, die meinen, wir bräuchten eine bessere Alternative zum IA, oder glauben, es gebe eine andere Lösung, oder eine andere Organisation sollte es betreiben: Niemand hat verhindert, dass konkurrierende Alternativen entstehen.
Dank der Arbeit, die das IA bereits geleistet und geteilt hat, habt ihr sogar einen besseren Startpunkt; versucht es also selbst.