Internet Archive de nouveau compromis via des jetons d’accès volés
(bleepingcomputer.com)- Malgré la précédente violation de données et l’attaque DDoS, Internet Archive avait encore un problème de jetons d’authentification exposés, qui a cette fois conduit à la compromission du système d’assistance par e-mail Zendesk
- L’attaquant affirme avoir obtenu un jeton Zendesk donnant accès à plus de 800 000 tickets de support envoyés à info@archive.org depuis 2018, et les e-mails envoyés ont passé les vérifications DKIM, DMARC et SPF
- La compromission initiale a commencé à partir d’un jeton exposé dans un fichier de configuration GitLab sur un serveur de développement, jeton qui aurait été visible au moins depuis décembre 2022
- Le code source volé contenait des identifiants du système de gestion de base de données et des jetons supplémentaires, ce qui pourrait avoir permis d’accéder à la base utilisateurs et aux droits de modification du site
- L’attaque semble davantage relever de la recherche de cyber street cred que de motivations politiques ou financières, avec un risque persistant de diffusion des données volées dans les communautés spécialisées dans les données compromises ou sur des forums de hacking
Compromission étendue jusqu’au système d’assistance Zendesk
- Internet Archive a cette fois été de nouveau compromis via la plateforme d’assistance par e-mail Zendesk
- Plusieurs utilisateurs ayant auparavant envoyé des demandes de suppression à Internet Archive ont reçu une réponse, dont le message avertissait que l’organisation n’avait pas correctement remplacé les jetons d’authentification volés
- L’e-mail de l’attaquant indiquait qu’Internet Archive n’avait pas renouvelé plusieurs clés API exposées dans les secrets GitLab, même après avoir pris connaissance de la compromission quelques semaines plus tôt
- L’attaquant affirme que le jeton Zendesk donnait accès à plus de 800 000 tickets de support envoyés à info@archive.org depuis 2018
- Les en-têtes de ces e-mails ont bien passé toutes les vérifications d’authentification DKIM, DMARC et SPF, et il a été confirmé qu’ils avaient été envoyés depuis un serveur Zendesk autorisé à l’adresse 192.161.151.10
Possibilité d’exposition des pièces jointes des tickets de support
- Certains utilisateurs devaient téléverser une pièce d’identité personnelle lorsqu’ils demandaient la suppression d’une page sur la Wayback Machine
- Si l’attaquant a téléchargé les tickets via l’accès à l’API Zendesk, il a pu aussi accéder à ces pièces jointes
- Zendesk dispose d’une API permettant de consulter les pièces jointes des tickets, et l’étendue réelle de l’exposition dépend des autorisations API dont disposait l’attaquant et de l’usage qu’il en a fait
Exposition du jeton GitLab et attaques précédentes
- Le 9 octobre, Internet Archive a subi deux attaques au même moment
- une violation de données ayant entraîné le vol des données de 33 millions d’utilisateurs du site
- une attaque DDoS menée par un groupe se présentant comme pro-palestinien nommé SN_BlackMeta
- Bien que survenues sur la même période, ces deux attaques ont été menées par des acteurs différents
- Plusieurs médias ont attribué à tort la violation de données à SN_BlackMeta, alors que le véritable auteur a contacté séparément BleepingComputer pour expliquer sa méthode
- La compromission initiale a commencé à partir d’un fichier de configuration GitLab exposé sur le serveur de développement d’Internet Archive, services-hls.dev.archive.org
- Il a été confirmé que ce jeton GitLab était exposé au moins depuis décembre 2022, puis avait été renouvelé à plusieurs reprises
Accès supplémentaires obtenus à partir du code source
- L’attaquant affirme que le jeton d’authentification du fichier de configuration GitLab permettait de télécharger le code source d’Internet Archive
- Il affirme avoir trouvé dans ce code source des identifiants supplémentaires et d’autres jetons d’authentification
- Parmi eux figuraient des identifiants du système de gestion de base de données d’Internet Archive, qui auraient permis
- de télécharger la base de données utilisateurs de l’organisation
- de télécharger davantage de code source
- de modifier le site
- L’attaquant affirme avoir volé 7 To de données à Internet Archive, sans toutefois partager d’échantillon de preuve
- Il est ensuite apparu que les données volées comprenaient aussi un jeton d’accès API destiné au système d’assistance Zendesk d’Internet Archive
Des lacunes de réponse malgré des avertissements répétés
- BleepingComputer a contacté Internet Archive à plusieurs reprises pour proposer de partager des informations sur la méthode et les motivations de la compromission
- Le contact le plus récent remontait à vendredi, mais aucune réponse n’a été reçue
- Cette nouvelle compromission de Zendesk est liée à l’affirmation de l’attaquant selon laquelle les jetons concernés n’ont pas été suffisamment remplacés après l’exposition du jeton d’authentification GitLab
Motivation de l’attaque et risque de diffusion des données
- Après la compromission d’Internet Archive, des théories du complot ont circulé, accusant Israël, le gouvernement américain ou des entreprises en conflit de droits d’auteur d’en être à l’origine
- Cette compromission semble moins motivée par des raisons politiques ou financières que par le simple fait que l’attaquant pouvait la mener
- Dans les communautés de revente de données volées, on retrouve des motivations comme
- extorquer de l’argent aux victimes
- vendre les données à d’autres attaquants
- collectionner des données compromises
- obtenir de la cyber street cred par une fuite publique
- Internet Archive étant un site très connu et extrêmement populaire, cela peut contribuer à renforcer la réputation de l’attaquant
- Personne n’a revendiqué publiquement cette compromission, mais l’attaquant l’aurait menée au cours de discussions de groupe avec d’autres personnes, et plusieurs auraient reçu une partie des données volées
- Il est possible que cette base de données circule déjà dans les communautés spécialisées dans les données compromises et qu’elle soit plus tard divulguée gratuitement sur des forums de hacking comme Breached
1 commentaires
Commentaires sur Hacker News
C’est vraiment triste de voir des acteurs malveillants s’en prendre à un service altruiste comme Internet Archive. Ce genre de comportement régressif est démoralisant
« Que vous ayez voulu poser une question banale ou demander la suppression d’un site de la Wayback Machine, vos données sont désormais entre les mains de n’importe qui. Si ça n’avait pas été moi, ç’aurait été quelqu’un d’autre. »
Du coup, on peut se demander s’il n’y a pas du vrai dans l’idée qu’une organisation seule ne devrait pas porter une mission aussi importante
En ce sens, cela joue presque un rôle d’intérêt public en révélant qu’une énorme organisation qui traite beaucoup d’informations personnelles identifiables ne prête aucune attention à la sécurité
Un acte criminel reste un acte criminel. Les sites qui attirent beaucoup de visiteurs doivent avoir une sécurité correcte pour éviter que leurs utilisateurs ne deviennent des victimes
Ça aurait pu être pire
Pour quelqu’un qui a de solides compétences en sécurité de l’information, c’est une bonne occasion de proposer bénévolement son expertise pour une bonne cause
C’est à la Library of Congress de préserver Internet, et elle devrait avoir le budget pour le faire
Cela correspond aussi à la mission même de la « Library of Congress ». Disposer d’un relevé exact de ce qui était présent sur Internet à un moment donné est utile quand on débat de législation ou de régulation liées à Internet
Selon Wikipedia[2], cela repose sur Heritrix et Wayback, tous deux développés par Internet Archive. Le billet de blog mentionne aussi le « Wayback software ». Les archives actuellement conservées sont consultables ici : http://webarchive.loc.gov/
[0] https://www.loc.gov/programs/web-archiving/about-this-progra...
[1] https://blogs.loc.gov/thesignal/2023/08/the-web-archiving-te...
[2] https://en.m.wikipedia.org/wiki/List_of_Web_archiving_initia...
Il nous faut des archives fondées sur du stockage distribué. J’apprécie et soutiens le travail d’Internet Archive, mais la préservation de l’histoire est trop importante pour être confiée à une seule organisation, donc à un seul point de défaillance
IA a bien essayé de distribuer le stockage, mais il n’y a tout simplement pas eu assez de gens prêts à fournir réellement leur espace disque
https://www.lockss.org/
C’est un excellent système reposant sur un protocole de consensus aléatoire. J’aurais aimé en faire le sujet d’un article en sécurité de l’information, mais le modèle de sécurité est si bien conçu que je n’avais rien à y ajouter
Si des données différentes reçoivent toujours des références différentes, il est facile de savoir si la sauvegarde est suffisante. Si le même nom désigne un amas d’instantanés pris dans des conditions variées, il devient difficile de savoir exactement ce que nous voulons sauvegarder sous ce nom
Les données sont volumineuses, mais pas autant que celles d’Archive.org : https://libgen.is/repository_torrent/. Il faut malgré tout financer ce type de nœuds distribués, l’objectif principal semblant être la résilience
Mais quand on a demandé à certaines équipes d’archives, dont IA, si elles souhaitaient l’utiliser, on n’a reçu soit aucune réponse, soit seulement des réponses négatives
Quelqu’un sait qui s’en prend à Internet Archive, et pourquoi ? J’ai l’impression que l’attaque est trop sophistiquée pour n’être qu’un simple acte de vandalisme potache
En plus, sa mission principale est de diffuser des données, pas de les cacher pour en tirer profit
Pour ceux qui ne connaissent pas la métaphore de la salière, voici le texte originel de cette antique sagesse :
https://web.archive.org/web/20060619131835/http://xelios.liv...
Pour une traduction, prenez celle que vous voulez :
https://malaya-zemlya.livejournal.com/697779.html
https://personal-view.com/talks/discussion/25915/humor-hacke...
https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
Je ne serais pas surpris qu’ils aient été assez laxistes sur la sécurité, en partant du principe qu’il n’y avait quasiment aucune raison de les viser
Chacun tirera les conclusions qu’il veut avec plus ou moins d’arguments, mais pour moi, ça sent fortement l’agence gouvernementale
Je ne connais pas leur modèle de financement, mais s’ils ont du cash, le recrutement d’une équipe sécurité devrait être la priorité absolue
Quel genre de vandale attaque une bibliothèque ? Il faut vraiment retrouver les responsables
La triste réalité, c’est que beaucoup de gens se font attaquer injustement sur Internet, et qu’une grande partie des auteurs échappent aux sanctions faute de ressources et de priorité dans les enquêtes
J’imagine un monde où, chaque fois qu’un snapshot de la Wayback Machine aide dans un procès, les avocats envoient quelques dollars à IA. Ils pourraient alors rapidement se payer une équipe d’admins de niveau mondial
Si l’état passé d’une page web a de l’importance, il faut un enregistrement qui ne disparaisse pas simplement parce que la partie adverse le demande. C’est précisément l’idée de perma.cc
J’ai envoyé mon CV il y a presque un an et je n’avais toujours reçu aucune réponse jusqu’à hier. On dirait qu’ils fouillent maintenant dans les candidatures en retard pour trouver du renfort
À tous ceux qui pensent qu’il faut une meilleure alternative à IA, qu’il existe une autre solution, ou qu’une autre organisation devrait s’en charger : personne n’a empêché l’émergence d’une alternative concurrente
Vous partez même avec une longueur d’avance grâce au travail qu’IA a déjà fait et partagé comme point de départ, donc rien ne vous empêche d’essayer vous-mêmes