Erneute Kompromittierung des Internet Archive durch gestohlene Access Tokens

 (bleepingcomputer.com)
1 Punkte von GN⁺ 2024-10-21 | 1 Kommentare | Auf WhatsApp teilen

Sicherheitsvorfall beim Internet Archive

  • Überblick über den Vorfall

    • Das Internet Archive wurde erneut Opfer eines Sicherheitsvorfalls. Diesmal wurde der Vorfall dadurch ausgelöst, dass auf der E-Mail-Support-Plattform Zendesk ein GitLab-Authentifizierungs-Token offengelegt wurde.
    • BleepingComputer erhielt mehrere Nachrichten von Personen, die Antworten auf Löschanfragen an das Internet Archive bekommen hatten. Sie warnten, dass die Organisation kompromittiert worden sei, weil sie Authentifizierungs-Tokens nicht ordnungsgemäß ausgetauscht habe.

  • Kompromittierung der Zendesk-E-Mails

    • Der Bedrohungsakteur konnte mithilfe eines Zendesk-Tokens auf mehr als 800.000 Support-Tickets zugreifen, die seit 2018 an info@archive.org gesendet worden waren.
    • Die E-Mail-Header bestanden sämtliche DKIM-, DMARC- und SPF-Authentifizierungsprüfungen und belegten damit, dass die Nachrichten von autorisierten Zendesk-Servern versendet wurden.

  • Offenlegung des GitLab-Authentifizierungs-Tokens

    • Am 9. Oktober berichtete BleepingComputer, dass das Internet Archive zeitgleich zwei Angriffen ausgesetzt war. Einer war eine Datenpanne, bei der Daten von 33 Millionen Nutzern gestohlen wurden, der andere ein DDoS-Angriff durch die pro-palästinensische Gruppe SN_BlackMeta.
    • Die Datenpanne begann mit einer offengelegten GitLab-Konfigurationsdatei, die ein Authentifizierungs-Token enthielt, mit dem sich der Source Code des Internet Archive herunterladen ließ.

  • Kompromittierung für Cyber-Ruhm

    • Das Internet Archive wurde nicht aus politischen oder finanziellen Gründen kompromittiert, sondern schlicht deshalb, weil der Bedrohungsakteur dazu in der Lage war.
    • Die Daten werden wahrscheinlich kostenlos veröffentlicht, um in der Community für Datenpannen Ansehen zu gewinnen.

Zusammenfassung von GN⁺

  • Der Sicherheitsvorfall beim Internet Archive unterstreicht, wie wichtig das Management von Authentifizierungs-Tokens ist. Das gehört zu den Grundlagen guter Sicherheitspraktiken, kann bei Vernachlässigung jedoch schwerwiegende Folgen haben.
  • Der Vorfall zeigt auch den Wettbewerb um Ansehen in der Community rund um Datenpannen und deutet darauf hin, dass Kompromittierungen selbst aus bloßer Neugier oder für Ruhm erfolgen können.
  • Projekte mit ähnlicher Funktionalität sind etwa die Security-Management-Tools von GitHub, die beim Management von Authentifizierungs-Tokens helfen können.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-10-21
Hacker-News-Kommentare

  • Es gibt Enttäuschung darüber, dass IA die API-Schlüssel nicht ausgetauscht hat

    • Obwohl der Sicherheitsvorfall schon Wochen zurückliegt, wurden offenbar keine Maßnahmen ergriffen
    • Dass dies geschah, nachdem wohlhabende Interessengruppen verärgert wurden, wirkt verdächtig

  • Menschen mit Wissen über Informationssicherheit haben die Gelegenheit, ihr Fachwissen kostenlos anzubieten

  • Es wird ein Archiv auf Basis verteilter Speicher benötigt

    • Ich unterstütze die Arbeit des Internet Archive, aber die Bewahrung der Geschichte sollte nicht von einem Single Point of Failure abhängen

  • Etwas so Altruistisches wie eine Internetbibliothek anzugreifen, ist sehr traurig

    • Eine solche Verkommenheit zu sehen, ist wirklich entmutigend

  • Man fragt sich, wer es auf das Internet Archive abgesehen hat und warum

    • Der Angriff wirkt nicht wie bloßer Vandalismus

  • Wenn das Internet Archive Geld hat, sollte die Einstellung eines Security-Teams ganz oben auf der Investitionsliste stehen

  • Man stellt sich eine Welt vor, in der Anwälte dem Internet Archive jedes Mal spenden, wenn ein Snapshot der Wayback Machine in einem Rechtsfall hilfreich ist

    • So könnte man schnell ein Management-Team von Weltklasse einstellen

  • Ich hatte vor fast einem Jahr einen Lebenslauf geschickt, aber bis gestern keinerlei Antwort erhalten

    • Offenbar arbeitet man gerade einen Rückstau ab, um aktuell mehr Personal zu finden

  • Man fragt sich, ob es derselbe Angriffsvektor ist wie beim vergangene Woche veröffentlichten E-Mail-Spoofing über Zendesk

  • Man fragt sich, ob es eine Möglichkeit gibt, IA im schreibgeschützten Modus zu spiegeln, während die Sicherheitsprobleme behoben werden