1 Punkte von GN⁺ 2024-10-21 | 1 Kommentare | Auf WhatsApp teilen
  • Das Internet Archive wurde nach dem früheren Datenleck und den DDoS-Angriffen erneut kompromittiert, da das Problem mit offengelegten Authentifizierungstoken bestehen blieb – diesmal sogar bis in das E-Mail-Supportsystem von Zendesk hinein
  • Der Angreifer erklärte, ein Zendesk-Token erlangt zu haben, mit dem auf mehr als 800.000 Support-Tickets zugegriffen werden kann, die seit 2018 an info@archive.org gesendet wurden; die versandten E-Mails bestanden DKIM-, DMARC- und SPF-Prüfungen
  • Die ursprüngliche Kompromittierung begann mit einem in einer GitLab-Konfigurationsdatei auf einem Entwicklungsserver offengelegten Token; bestätigt wurde, dass dieses Token mindestens seit Dezember 2022 exponiert war
  • Der gestohlene Quellcode soll Zugangsdaten für das Datenbankverwaltungssystem und weitere Token enthalten haben, wodurch möglicherweise auch Zugriff auf die Benutzerdatenbank und Rechte zur Änderung der Website möglich waren
  • Der Angriff wirkt eher wie der Versuch, cyber street cred zu gewinnen, als politisch oder finanziell motiviert zu sein; zugleich bleibt das Risiko bestehen, dass die erbeuteten Daten in Communities für kompromittierte Daten oder Hacking-Foren zirkulieren

Kompromittierung bis ins Zendesk-Supportsystem

  • Das Internet Archive wurde diesmal erneut über die Zendesk-E-Mail-Supportplattform kompromittiert
  • Mehrere Nutzer, die dem Internet Archive früher Löschanfragen geschickt hatten, erhielten Antworten, in denen gewarnt wurde, dass die Organisation gestohlene Authentifizierungstoken nicht ordnungsgemäß ersetzt habe
  • In der E-Mail des Angreifers hieß es, das Internet Archive habe auch Wochen nach Kenntnis der Kompromittierung mehrere in GitLab-Secrets offengelegte API-Schlüssel nicht rotiert
  • Der Angreifer erklärte, das Zendesk-Token gewähre Zugriff auf mehr als 800.000 Support-Tickets, die seit 2018 an info@archive.org gesendet wurden
  • Die Header dieser E-Mails bestanden die Prüfungen für DKIM, DMARC und SPF und wurden nachweislich von einem autorisierten Zendesk-Server unter 192.161.151.10 versendet

Mögliche Offenlegung von Anhängen in Support-Tickets

  • Einige Nutzer mussten beim Beantragen der Entfernung von Seiten aus der Wayback Machine persönliche Ausweisdokumente hochladen
  • Falls der Angreifer Support-Tickets über den Zendesk-API-Zugriff heruntergeladen hat, könnte er auch auf diese Anhänge zugegriffen haben
  • Zendesk bietet eine API zum Abruf von Ticket-Anhängen; der tatsächliche Umfang einer Offenlegung hängt von den API-Berechtigungen des Angreifers und deren Nutzung ab

Offenlegung des GitLab-Tokens und frühere Angriffe

  • Am 9. Oktober war das Internet Archive zeitgleich Ziel von zwei Angriffen
    • einer Datenpanne, bei der Nutzerdaten von 33 Millionen Website-Nutzern gestohlen wurden
    • einem DDoS-Angriff durch eine Gruppe namens SN_BlackMeta, die angibt, pro-palästinensisch zu sein
  • Beide Angriffe fanden im selben Zeitraum statt, wurden aber von unterschiedlichen Angreifern durchgeführt
  • Mehrere Medien berichteten fälschlich, SN_BlackMeta stecke hinter dem Datenleck; tatsächlich kontaktierte der eigentliche Angreifer BleepingComputer separat und erläuterte die Vorgehensweise
  • Die ursprüngliche Kompromittierung begann mit einer offengelegten GitLab-Konfigurationsdatei auf dem Entwicklungsserver des Internet Archive, services-hls.dev.archive.org
  • Bestätigt wurde, dass dieses GitLab-Token mindestens seit Dezember 2022 offengelegt war und danach mehrfach rotiert wurde

Weiterer Zugriff über den Quellcode

  • Der Angreifer erklärte, dass sich mit dem Authentifizierungstoken aus der GitLab-Konfigurationsdatei der Quellcode des Internet Archive herunterladen ließ
  • Im Quellcode habe der Angreifer weitere Zugangsdaten und Authentifizierungstoken gefunden
  • Dazu gehörten auch Zugangsdaten für das Datenbankverwaltungssystem des Internet Archive, die laut Angreifer Folgendes ermöglichten
    • Herunterladen der Benutzerdatenbank der Organisation
    • Herunterladen weiteren Quellcodes
    • Änderungen an der Website
  • Der Angreifer behauptete, 7 TB an Daten vom Internet Archive gestohlen zu haben, teilte dafür aber keine Belegproben
  • Später stellte sich heraus, dass sich unter den gestohlenen Daten auch ein API-Zugriffstoken für das Zendesk-Supportsystem des Internet Archive befand

Reaktionslücken trotz wiederholter Warnungen

  • BleepingComputer kontaktierte das Internet Archive mehrfach und bot an, Details zur Art der Kompromittierung und zu den Motiven zu teilen
  • Der jüngste Kontaktversuch erfolgte am Freitag, blieb jedoch unbeantwortet
  • Die aktuelle Zendesk-Kompromittierung steht im Zusammenhang mit der Behauptung des Angreifers, dass nach der Offenlegung der GitLab-Authentifizierungstoken nicht alle relevanten Token ausreichend ersetzt wurden

Motiv des Angriffs und Risiko der Datenverbreitung

  • Nach der Kompromittierung des Internet Archive verbreiteten sich Verschwörungstheorien, wonach Israel, die US-Regierung oder in Urheberrechtsstreitigkeiten stehende Unternehmen dahinterstecken könnten
  • Dieser Vorfall wirkt jedoch eher so, als sei er erfolgt, weil der Angreifer ihn ausführen konnte, und nicht aus politischen oder finanziellen Gründen
  • In Communities für den Handel mit gestohlenen Daten gibt es Motive wie
    • Erpressung der Opfer, um Geld zu erhalten
    • Verkauf der Daten an andere Angreifer
    • Sammlung kompromittierter Daten
    • öffentliches Leak zur Steigerung der cyber street cred
  • Das Internet Archive ist eine bekannte und sehr populäre Website, was dem Ruf eines Angreifers zugutekommen kann
  • Öffentlich hat niemand die aktuelle Kompromittierung für sich beansprucht, doch der Angreifer soll sie in einem Gruppenchat zusammen mit anderen durchgeführt haben, und mehrere Personen sollen Teile der erbeuteten Daten erhalten haben
  • Es ist möglich, dass die Datenbank bereits in Communities für kompromittierte Daten gehandelt wird und künftig in Hacking-Foren wie Breached kostenlos veröffentlicht werden könnte

1 Kommentare

 
GN⁺ 2024-10-21
Meinungen auf Hacker News
  • Es ist wirklich traurig, Threat Actors zu sehen, die einen so altruistischen Dienst wie das Internet Archive angreifen. Solch regressives Verhalten demoralisiert

    • Ich will die Angreifer nicht verteidigen; ich sehe IA als öffentliches Gut. Allerdings liest sich eine der Botschaften in diesem Fall auch so, als habe jemand auf ein Problem hinweisen wollen, das IA übersehen hat
      „Ob du eine allgemeine Frage stellen oder die Entfernung einer Website aus der Wayback Machine beantragen wolltest: Deine Daten sind jetzt in den Händen irgendeiner beliebigen Person. Wäre ich es nicht gewesen, wäre es jemand anderes gewesen.“
      Deshalb frage ich mich, ob an dem Argument etwas dran ist, dass eine so wichtige Aufgabe nicht nur in der Verantwortung einer einzigen Organisation liegen sollte
    • Da viele Menschen tief in der Doktrin von imaginären Eigentumsrechten stecken und ihr Lebensunterhalt davon abhängt, ist das nicht allzu überraschend
    • Anders betrachtet könnte man dankbar sein, dass es offenbar Leute waren, die IA kompromittiert und dies öffentlich gemacht haben, mit der Forderung, das System zu reparieren. Andere Angreifer hätten es einfach zerstören, Inhalte heimlich verändern oder noch Schlimmeres tun können
      Insofern erfüllt es eine Art öffentliches Interesse, offenzulegen, dass eine große Organisation, die viele personenbezogene Daten verarbeitet, sich überhaupt nicht um Sicherheit kümmert
    • Alles mit viel Traffic wird zum Ziel. Wichtiger als das, was die Organisation tut, ist die potenzielle Reichweite
      Kriminelles Verhalten ist einfach kriminelles Verhalten. Orte, die viele Besucher anziehen, müssen angemessen abgesichert sein, damit ihre Kunden nicht zu Opfern werden
    • Die Angreifer scheinen nur auf Street Cred aus gewesen zu sein, und der zweite Einbruch wirkt wie ein Erinnerungssignal, dass IA nach dem ersten Einbruch noch immer nicht richtig nachgebessert hatte
      Es hätte schlimmer kommen können
  • Für jemanden mit soliden Kenntnissen in Informationssicherheit wäre das eine gute Gelegenheit, kostenlos Expertise für einen guten Zweck bereitzustellen

    • Ich vermute, dass sie im Moment mit solchen Angeboten überschüttet werden und vieles untergeht
    • An diesem Punkt sollte man wohl von Grund auf über eine Neuschreibung nachdenken. Sie betreiben vermutlich einen Tech-Stack von etwa 1992
  • Die Library of Congress sollte das Internet bewahren und dafür auch ein Budget haben
    Das passt auch zur Mission einer „Library of Congress“. Eine genaue Aufzeichnung dessen, was zu einem bestimmten Zeitpunkt im Internet vorhanden war, hilft bei Diskussionen über internetbezogene Gesetzgebung oder Regulierung

  • Wir brauchen ein Archiv auf Basis von verteiltem Speicher. Ich mag und unterstütze die Arbeit des Internet Archive, aber die Bewahrung von Geschichte ist zu wichtig, um sie einer einzelnen Organisation und damit einem Single Point of Failure zu überlassen

    • Jedes Mal, wenn so ein Beitrag erscheint, kommt dieses Thema in den Kommentaren mindestens einmal auf
      IA hat ebenfalls versucht, Speicher zu verteilen, aber es gab nicht genug Leute, die tatsächlich eigenen Speicherplatz bereitgestellt haben, wie oft behauptet wird
    • Es gibt den Ansatz „Viele Kopien halten Daten sicher“
      https://www.lockss.org/
      Ein hervorragendes System, das auf einem zufallsbasierten Konsensprotokoll beruht. Ich wollte es zum Thema einer InfoSec-Arbeit machen, aber das Sicherheitsmodell war so gut entworfen, dass ich nichts Sinnvolles hinzufügen konnte
    • Um das Web freundlicher für verteilte Archive zu machen, sollte man meiner Ansicht nach Ziele über Hashes referenzieren, nicht über Pfade, bei denen ein Server implizit verspricht, sie konsistent auszuliefern, tatsächlich aber je nach Zeitpunkt aus allen möglichen Gründen unterschiedliche Daten zeigt
      Wenn unterschiedliche Daten immer unterschiedliche Referenzen haben, lässt sich leichter erkennen, ob es genug Backups gibt. Wenn derselbe Name auf einen Haufen Snapshots verweist, die unter unterschiedlichen Bedingungen entstanden sind, ist schwer zu wissen, was genau wir unter diesem Namen eigentlich sichern wollen
    • LibGen und Sci-Hub sind in dieser Hinsicht vorbildlich. Sie nutzen für ihren Zweck passende Technik: Torrents + IPFS + einfache HTTP-Mirrors an vielen Stellen
      Die Datenmenge ist groß, aber nicht so groß wie bei Archive.org: https://libgen.is/repository_torrent/. Trotzdem braucht es Geld für solche verteilten Nodes, und das Hauptziel scheint Resilienz zu sein
    • Ich habe ein System entworfen, bei dem man sagen kann: „Ich spende dem Internet Archive 2 TB freien Speicherplatz auf meiner Festplatte“, und IA schiebt dann 2 TB Daten darauf. Dieses System hat außerdem die Eigenschaft, dass es rekonstruierbar bleibt, selbst wenn IA oder andere Anbieter verschwinden
      Als ich jedoch einige Archiv-Teams, darunter IA, fragte, ob sie es nutzen wollten, erhielt ich entweder keine Antwort oder nur negative Rückmeldungen
  • Weiß jemand, wer es auf das Internet Archive abgesehen hat und warum? Die Angriffe wirken auf mich zu ausgefeilt, um sie einfach als Vandalismus aus Spaß abzutun.

    • Sieht für mich einfach danach aus, als würde jemand in den Salzstreuer pinkeln. Das Internet Archive wird offensichtlich mit Duct Tape und individueller Willenskraft zusammengehalten. Zugegeben, es ist robustes und langlebiges Duct Tape.
      Außerdem besteht die Hauptaufgabe darin, Daten zu verbreiten, nicht darin, Daten zu verstecken, um Gewinn zu machen.
      Für alle, die die Salzstreuer-Analogie nicht kennen, hier die ursprüngliche alte Weisheit:
      https://web.archive.org/web/20060619131835/http://xelios.liv...
      Übersetzung nach Belieben auswählen:
      https://malaya-zemlya.livejournal.com/697779.html
      https://personal-view.com/talks/discussion/25915/humor-hacke...
      https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
    • Ich weiß nicht, warum du diesen Eindruck hast. Nach den Botschaften der Angreifer sieht alles nach Spaß-Vandalen aus, und ich habe auch keine Anzeichen gesehen, dass die Systeme des IA wie Fort Knox wirken.
      Es wäre nicht überraschend, wenn sie bei der Sicherheit ziemlich locker waren, weil sie von vornherein davon ausgingen, dass es kaum Gründe gibt, sie ins Visier zu nehmen.
    • Die Gruppe, die den ersten Hack für sich reklamierte, soll in Russland sitzen, antiamerikanisch und propalästinensisch sein; als Grund für den Angriff nannte sie Urheberrechtsverletzungen des IA.
      Jeder kann seine eigenen, besser begründeten Schlüsse ziehen, aber für mich riecht das stark nach staatlicher Stelle.
    • Wenn man die vielen Kommentare sieht, die einen Führungswechsel fordern, könnte man mit Aluhut auch an einen koordinierten Versuch denken, einen Führungswechsel zu erzwingen.
    • Vielleicht haben White-Hat-Hacker dem IA Sicherheitsprobleme gemeldet, wurden ignoriert und haben dann auf eine Weise gehackt, bei der offenbar nichts gravierend kaputtging, um Maßnahmen zu erzwingen.
  • Ich kenne ihr Finanzierungsmodell nicht, aber wenn Geld vorhanden ist, sollte die Einstellung eines Security-Teams meiner Meinung nach die wichtigste Investition sein.

    • Zumindest im Moment dürfte das Finanzierungsmodell des IA eher darin bestehen, mit kaltem Schweiß auf ein enormes Gerichtsurteil zu warten.
  • Was für ein Vandale greift eine Bibliothek an? Die Verantwortlichen müssen wirklich gefunden werden.

    • Solche Internetangriffe passieren ständig gegen Kinder, die Minecraft-Server betreiben, Kleinunternehmer, Hobby-Programmierer usw. Die Verantwortlichen zu finden ist oft schwierig oder unmöglich, und Behörden wie das FBI setzen ihre Ressourcen normalerweise für größere Fälle ein, etwa Drogenhandel oder erpressungsorientierte Cyberkriminalität.
      Die traurige Realität ist, dass viele Menschen im Internet zu Unrecht angegriffen werden und wegen mangelnder Ermittlungspriorität und knapper Ressourcen ein erheblicher Teil ungestraft bleibt.
    • Wer profitiert von diesem Angriff? Wer hat Druck gemacht, Bücher aus dem IA zu entfernen?
  • Ich stelle mir eine Welt vor, in der Anwälte dem IA jedes Mal ein paar Dollar schicken, wenn ein Wayback-Machine-Snapshot in einem Gerichtsverfahren hilft. Dann könnten sie sich schnell ein Admin-Team von Weltklasse leisten.

    • Das ist eine schreckliche Lösung. Die Wayback Machine entfernt Snapshots, wenn die Person, die eine Domain kontrolliert, darum bittet. Das ist kein Archiv.
      Wenn der frühere Zustand einer Webseite wichtig ist, braucht man einen Nachweis, der nicht verschwindet, nur weil die Gegenseite darum bittet. perma.cc ist genau dieses Konzept.
  • Ich habe vor fast einem Jahr meinen Lebenslauf geschickt und bis gestern keinerlei Antwort bekommen. Es sieht so aus, als würden sie jetzt die aufgelaufenen Bewerbungen durchgehen, um helfende Hände zu finden.

  • An alle, die meinen, wir bräuchten eine bessere Alternative zum IA, oder glauben, es gebe eine andere Lösung, oder eine andere Organisation sollte es betreiben: Niemand hat verhindert, dass konkurrierende Alternativen entstehen.
    Dank der Arbeit, die das IA bereits geleistet und geteilt hat, habt ihr sogar einen besseren Startpunkt; versucht es also selbst.