1 points par GN⁺ 2024-10-21 | 1 commentaires | Partager sur WhatsApp
  • Malgré la précédente violation de données et l’attaque DDoS, Internet Archive avait encore un problème de jetons d’authentification exposés, qui a cette fois conduit à la compromission du système d’assistance par e-mail Zendesk
  • L’attaquant affirme avoir obtenu un jeton Zendesk donnant accès à plus de 800 000 tickets de support envoyés à info@archive.org depuis 2018, et les e-mails envoyés ont passé les vérifications DKIM, DMARC et SPF
  • La compromission initiale a commencé à partir d’un jeton exposé dans un fichier de configuration GitLab sur un serveur de développement, jeton qui aurait été visible au moins depuis décembre 2022
  • Le code source volé contenait des identifiants du système de gestion de base de données et des jetons supplémentaires, ce qui pourrait avoir permis d’accéder à la base utilisateurs et aux droits de modification du site
  • L’attaque semble davantage relever de la recherche de cyber street cred que de motivations politiques ou financières, avec un risque persistant de diffusion des données volées dans les communautés spécialisées dans les données compromises ou sur des forums de hacking

Compromission étendue jusqu’au système d’assistance Zendesk

  • Internet Archive a cette fois été de nouveau compromis via la plateforme d’assistance par e-mail Zendesk
  • Plusieurs utilisateurs ayant auparavant envoyé des demandes de suppression à Internet Archive ont reçu une réponse, dont le message avertissait que l’organisation n’avait pas correctement remplacé les jetons d’authentification volés
  • L’e-mail de l’attaquant indiquait qu’Internet Archive n’avait pas renouvelé plusieurs clés API exposées dans les secrets GitLab, même après avoir pris connaissance de la compromission quelques semaines plus tôt
  • L’attaquant affirme que le jeton Zendesk donnait accès à plus de 800 000 tickets de support envoyés à info@archive.org depuis 2018
  • Les en-têtes de ces e-mails ont bien passé toutes les vérifications d’authentification DKIM, DMARC et SPF, et il a été confirmé qu’ils avaient été envoyés depuis un serveur Zendesk autorisé à l’adresse 192.161.151.10

Possibilité d’exposition des pièces jointes des tickets de support

  • Certains utilisateurs devaient téléverser une pièce d’identité personnelle lorsqu’ils demandaient la suppression d’une page sur la Wayback Machine
  • Si l’attaquant a téléchargé les tickets via l’accès à l’API Zendesk, il a pu aussi accéder à ces pièces jointes
  • Zendesk dispose d’une API permettant de consulter les pièces jointes des tickets, et l’étendue réelle de l’exposition dépend des autorisations API dont disposait l’attaquant et de l’usage qu’il en a fait

Exposition du jeton GitLab et attaques précédentes

  • Le 9 octobre, Internet Archive a subi deux attaques au même moment
    • une violation de données ayant entraîné le vol des données de 33 millions d’utilisateurs du site
    • une attaque DDoS menée par un groupe se présentant comme pro-palestinien nommé SN_BlackMeta
  • Bien que survenues sur la même période, ces deux attaques ont été menées par des acteurs différents
  • Plusieurs médias ont attribué à tort la violation de données à SN_BlackMeta, alors que le véritable auteur a contacté séparément BleepingComputer pour expliquer sa méthode
  • La compromission initiale a commencé à partir d’un fichier de configuration GitLab exposé sur le serveur de développement d’Internet Archive, services-hls.dev.archive.org
  • Il a été confirmé que ce jeton GitLab était exposé au moins depuis décembre 2022, puis avait été renouvelé à plusieurs reprises

Accès supplémentaires obtenus à partir du code source

  • L’attaquant affirme que le jeton d’authentification du fichier de configuration GitLab permettait de télécharger le code source d’Internet Archive
  • Il affirme avoir trouvé dans ce code source des identifiants supplémentaires et d’autres jetons d’authentification
  • Parmi eux figuraient des identifiants du système de gestion de base de données d’Internet Archive, qui auraient permis
    • de télécharger la base de données utilisateurs de l’organisation
    • de télécharger davantage de code source
    • de modifier le site
  • L’attaquant affirme avoir volé 7 To de données à Internet Archive, sans toutefois partager d’échantillon de preuve
  • Il est ensuite apparu que les données volées comprenaient aussi un jeton d’accès API destiné au système d’assistance Zendesk d’Internet Archive

Des lacunes de réponse malgré des avertissements répétés

  • BleepingComputer a contacté Internet Archive à plusieurs reprises pour proposer de partager des informations sur la méthode et les motivations de la compromission
  • Le contact le plus récent remontait à vendredi, mais aucune réponse n’a été reçue
  • Cette nouvelle compromission de Zendesk est liée à l’affirmation de l’attaquant selon laquelle les jetons concernés n’ont pas été suffisamment remplacés après l’exposition du jeton d’authentification GitLab

Motivation de l’attaque et risque de diffusion des données

  • Après la compromission d’Internet Archive, des théories du complot ont circulé, accusant Israël, le gouvernement américain ou des entreprises en conflit de droits d’auteur d’en être à l’origine
  • Cette compromission semble moins motivée par des raisons politiques ou financières que par le simple fait que l’attaquant pouvait la mener
  • Dans les communautés de revente de données volées, on retrouve des motivations comme
    • extorquer de l’argent aux victimes
    • vendre les données à d’autres attaquants
    • collectionner des données compromises
    • obtenir de la cyber street cred par une fuite publique
  • Internet Archive étant un site très connu et extrêmement populaire, cela peut contribuer à renforcer la réputation de l’attaquant
  • Personne n’a revendiqué publiquement cette compromission, mais l’attaquant l’aurait menée au cours de discussions de groupe avec d’autres personnes, et plusieurs auraient reçu une partie des données volées
  • Il est possible que cette base de données circule déjà dans les communautés spécialisées dans les données compromises et qu’elle soit plus tard divulguée gratuitement sur des forums de hacking comme Breached

1 commentaires

 
GN⁺ 2024-10-21
Commentaires sur Hacker News
  • C’est vraiment triste de voir des acteurs malveillants s’en prendre à un service altruiste comme Internet Archive. Ce genre de comportement régressif est démoralisant

    • Sans vouloir défendre les attaquants, je considère IA comme un bien public. Cela dit, l’un des messages de cette affaire peut aussi se lire comme une tentative de signaler un problème qu’IA a laissé passer
      « Que vous ayez voulu poser une question banale ou demander la suppression d’un site de la Wayback Machine, vos données sont désormais entre les mains de n’importe qui. Si ça n’avait pas été moi, ç’aurait été quelqu’un d’autre. »
      Du coup, on peut se demander s’il n’y a pas du vrai dans l’idée qu’une organisation seule ne devrait pas porter une mission aussi importante
    • Vu le nombre de gens profondément imprégnés de la doctrine des droits de propriété imaginaires, et dont le revenu en dépend, ce n’est pas si surprenant
    • Sous un autre angle, on pourrait presque être reconnaissant que ce soit le genre d’attaquants qui compromettent IA, l’annoncent publiquement et exigent que le système soit corrigé. D’autres auraient pu simplement tout détruire, modifier discrètement le contenu ou faire quelque chose d’encore pire
      En ce sens, cela joue presque un rôle d’intérêt public en révélant qu’une énorme organisation qui traite beaucoup d’informations personnelles identifiables ne prête aucune attention à la sécurité
    • Tout ce qui a beaucoup de trafic devient une cible. Ce que fait l’organisation compte moins que sa portée potentielle
      Un acte criminel reste un acte criminel. Les sites qui attirent beaucoup de visiteurs doivent avoir une sécurité correcte pour éviter que leurs utilisateurs ne deviennent des victimes
    • L’attaquant semble surtout avoir recherché une réputation dans le milieu, et la deuxième compromission ressemble à un signal de rappel montrant qu’IA n’avait toujours pas correctement corrigé le problème après la première
      Ça aurait pu être pire
  • Pour quelqu’un qui a de solides compétences en sécurité de l’information, c’est une bonne occasion de proposer bénévolement son expertise pour une bonne cause

    • J’imagine qu’ils sont déjà submergés par ce genre de propositions en ce moment
    • À ce stade, il faut peut-être envisager une réécriture complète. On dirait qu’ils font tourner une stack technique de 1992
  • C’est à la Library of Congress de préserver Internet, et elle devrait avoir le budget pour le faire
    Cela correspond aussi à la mission même de la « Library of Congress ». Disposer d’un relevé exact de ce qui était présent sur Internet à un moment donné est utile quand on débat de législation ou de régulation liées à Internet

  • Il nous faut des archives fondées sur du stockage distribué. J’apprécie et soutiens le travail d’Internet Archive, mais la préservation de l’histoire est trop importante pour être confiée à une seule organisation, donc à un seul point de défaillance

    • À chaque fois qu’un billet de ce genre paraît, ce point revient au moins une fois dans les commentaires
      IA a bien essayé de distribuer le stockage, mais il n’y a tout simplement pas eu assez de gens prêts à fournir réellement leur espace disque
    • Il y a l’approche « lots of copies keep stuff safe »
      https://www.lockss.org/
      C’est un excellent système reposant sur un protocole de consensus aléatoire. J’aurais aimé en faire le sujet d’un article en sécurité de l’information, mais le modèle de sécurité est si bien conçu que je n’avais rien à y ajouter
    • Pour rendre le web compatible avec des archives distribuées, je pense qu’il faut référencer les cibles par hachage et non par chemin, lequel laisse entendre qu’un serveur fournira le même contenu de manière cohérente alors qu’en réalité il peut montrer des données différentes à différents moments pour toutes sortes de raisons
      Si des données différentes reçoivent toujours des références différentes, il est facile de savoir si la sauvegarde est suffisante. Si le même nom désigne un amas d’instantanés pris dans des conditions variées, il devient difficile de savoir exactement ce que nous voulons sauvegarder sous ce nom
    • LibGen et Sci-Hub sont exemplaires sur ce point. Ils utilisent bien les technologies adaptées à leur objectif : torrent + IPFS + simples miroirs HTTP un peu partout
      Les données sont volumineuses, mais pas autant que celles d’Archive.org : https://libgen.is/repository_torrent/. Il faut malgré tout financer ce type de nœuds distribués, l’objectif principal semblant être la résilience
    • Si je disais « je veux donner 2 To d’espace libre sur mon disque à Internet Archive », IA avait conçu un système capable d’y pousser 2 To de données. Ce système avait aussi la propriété de pouvoir être reconstruit même si IA ou d’autres fournisseurs disparaissaient
      Mais quand on a demandé à certaines équipes d’archives, dont IA, si elles souhaitaient l’utiliser, on n’a reçu soit aucune réponse, soit seulement des réponses négatives
  • Quelqu’un sait qui s’en prend à Internet Archive, et pourquoi ? J’ai l’impression que l’attaque est trop sophistiquée pour n’être qu’un simple acte de vandalisme potache

    • On dirait juste quelqu’un qui pisse dans la salière. Internet Archive fonctionne clairement à coups de ruban adhésif et de pure force de volonté. Certes, un ruban adhésif solide et durable
      En plus, sa mission principale est de diffuser des données, pas de les cacher pour en tirer profit
      Pour ceux qui ne connaissent pas la métaphore de la salière, voici le texte originel de cette antique sagesse :
      https://web.archive.org/web/20060619131835/http://xelios.liv...
      Pour une traduction, prenez celle que vous voulez :
      https://malaya-zemlya.livejournal.com/697779.html
      https://personal-view.com/talks/discussion/25915/humor-hacke...
      https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
    • Je ne vois pas pourquoi tu as cette impression. D’après les messages des attaquants, ça ressemble entièrement à des vandales potaches, et je n’ai rien vu qui indique que les systèmes d’IA ressemblent à Fort Knox
      Je ne serais pas surpris qu’ils aient été assez laxistes sur la sécurité, en partant du principe qu’il n’y avait quasiment aucune raison de les viser
    • Le groupe qui a revendiqué le premier piratage serait basé en Russie, anti-américain et pro-palestinien, et aurait dit que la raison de l’attaque était les violations du droit d’auteur d’IA
      Chacun tirera les conclusions qu’il veut avec plus ou moins d’arguments, mais pour moi, ça sent fortement l’agence gouvernementale
    • Vu le nombre de commentaires réclamant un changement de direction, ma théorie du chapeau en aluminium serait qu’il s’agit d’une tentative organisée pour provoquer un remplacement de la direction
    • C’est peut-être aussi des hackers white hat qui ont signalé des problèmes de sécurité à IA, ont été ignorés, puis ont piraté le site d’une manière qui ne semble pas avoir causé de gros dégâts afin de forcer une réaction
  • Je ne connais pas leur modèle de financement, mais s’ils ont du cash, le recrutement d’une équipe sécurité devrait être la priorité absolue

    • Au moins pour le moment, le modèle de financement d’IA ressemble probablement surtout à attendre en sueur un énorme jugement
  • Quel genre de vandale attaque une bibliothèque ? Il faut vraiment retrouver les responsables

    • Ce genre d’attaque sur Internet arrive en permanence à des enfants qui gèrent des serveurs Minecraft, à des petits entrepreneurs, à des programmeurs amateurs, etc. Retrouver les responsables est souvent difficile, voire impossible, et des organismes comme le FBI consacrent généralement leurs ressources à de plus grosses affaires, par exemple la cybercriminalité liée au trafic de drogue ou à l’extorsion
      La triste réalité, c’est que beaucoup de gens se font attaquer injustement sur Internet, et qu’une grande partie des auteurs échappent aux sanctions faute de ressources et de priorité dans les enquêtes
    • À qui profite cette attaque ? Qui a fait pression pour que des livres soient retirés d’IA ?
  • J’imagine un monde où, chaque fois qu’un snapshot de la Wayback Machine aide dans un procès, les avocats envoient quelques dollars à IA. Ils pourraient alors rapidement se payer une équipe d’admins de niveau mondial

    • C’est une solution affreuse. La Wayback Machine retire des snapshots à la demande des personnes qui contrôlent le domaine. Ce n’est pas une archive
      Si l’état passé d’une page web a de l’importance, il faut un enregistrement qui ne disparaisse pas simplement parce que la partie adverse le demande. C’est précisément l’idée de perma.cc
  • J’ai envoyé mon CV il y a presque un an et je n’avais toujours reçu aucune réponse jusqu’à hier. On dirait qu’ils fouillent maintenant dans les candidatures en retard pour trouver du renfort

  • À tous ceux qui pensent qu’il faut une meilleure alternative à IA, qu’il existe une autre solution, ou qu’une autre organisation devrait s’en charger : personne n’a empêché l’émergence d’une alternative concurrente
    Vous partez même avec une longueur d’avance grâce au travail qu’IA a déjà fait et partagé comme point de départ, donc rien ne vous empêche d’essayer vous-mêmes