1 điểm bởi GN⁺ 2024-10-21 | 1 bình luận | Chia sẻ qua WhatsApp
  • Internet Archive vẫn còn vấn đề token xác thực bị lộ sau vụ rò rỉ dữ liệu và DDoS trước đó, lần này dẫn đến cả hệ thống hỗ trợ qua email Zendesk cũng bị xâm nhập
  • Kẻ tấn công cho biết đã có được token Zendesk cho phép truy cập hơn 800.000 ticket hỗ trợ gửi đến info@archive.org từ năm 2018, và email được gửi đã vượt qua các kiểm tra DKIM, DMARC, SPF
  • Vụ xâm nhập ban đầu bắt nguồn từ token bị lộ trong tệp cấu hình GitLab trên máy chủ phát triển, và token này được xác nhận đã bị lộ ít nhất từ tháng 12/2022
  • Mã nguồn bị đánh cắp chứa thông tin xác thực của hệ thống quản trị cơ sở dữ liệu và các token bổ sung, nên có khả năng kẻ tấn công đã truy cập được cơ sở dữ liệu người dùng và quyền chỉnh sửa trang web
  • Cuộc tấn công có vẻ nhằm đạt cyber street cred hơn là vì chính trị hay tiền bạc, và vẫn còn nguy cơ dữ liệu bị đánh cắp được lưu hành trong các cộng đồng dữ liệu rò rỉ hoặc diễn đàn hacker

Vụ xâm nhập lan tới cả hệ thống hỗ trợ Zendesk

  • Internet Archive lần này lại bị xâm nhập thông qua nền tảng hỗ trợ email Zendesk
  • Nhiều người dùng từng gửi yêu cầu gỡ bỏ đến Internet Archive trước đây đã nhận được thư trả lời, trong đó cảnh báo rằng tổ chức này chưa thay thế đúng cách các token xác thực bị đánh cắp
  • Email của kẻ tấn công cho biết Internet Archive, dù đã biết về vụ xâm nhập vài tuần trước, vẫn chưa xoay vòng nhiều khóa API bị lộ trong GitLab secrets
  • Kẻ tấn công cho biết token Zendesk có quyền truy cập hơn 800.000 ticket hỗ trợ được gửi đến info@archive.org từ năm 2018
  • Header của email này đã vượt qua tất cả các kiểm tra xác thực DKIM, DMARC, SPF, và được xác nhận là gửi từ máy chủ Zendesk được ủy quyền tại 192.161.151.10

Khả năng lộ tệp đính kèm trong ticket hỗ trợ

  • Một số người dùng từng phải tải lên giấy tờ tùy thân cá nhân khi yêu cầu xóa trang khỏi Wayback Machine
  • Nếu kẻ tấn công đã tải ticket hỗ trợ xuống bằng quyền truy cập Zendesk API, chúng cũng có thể đã truy cập được các tệp đính kèm đó
  • Zendesk có API để xem tệp đính kèm của ticket, và phạm vi lộ thực tế phụ thuộc vào quyền API mà kẻ tấn công có cũng như việc chúng có sử dụng quyền đó hay không

Token GitLab bị lộ và các cuộc tấn công trước đó

  • Ngày 9/10, Internet Archive hứng chịu hai cuộc tấn công trong cùng thời điểm
    • Vụ rò rỉ dữ liệu khiến dữ liệu của 33 triệu người dùng trang web bị đánh cắp
    • Cuộc tấn công DDoS của một nhóm tự nhận có khuynh hướng ủng hộ Palestine tên là SN_BlackMeta
  • Hai cuộc tấn công diễn ra trong cùng khoảng thời gian nhưng do các kẻ tấn công khác nhau thực hiện
  • Nhiều hãng tin đã đưa nhầm rằng SN_BlackMeta đứng sau vụ rò rỉ dữ liệu, nhưng kẻ tấn công thực sự của vụ rò rỉ đã liên hệ riêng với BleepingComputer để giải thích cách thức tấn công
  • Vụ xâm nhập ban đầu bắt đầu từ tệp cấu hình GitLab bị lộ trên máy chủ phát triển của Internet Archive là services-hls.dev.archive.org
  • Token GitLab này đã bị lộ ít nhất từ tháng 12/2022, và sau đó được xác nhận là đã được xoay vòng nhiều lần

Truy cập bổ sung từ mã nguồn

  • Kẻ tấn công cho biết token xác thực trong tệp cấu hình GitLab cho phép tải xuống mã nguồn của Internet Archive
  • Kẻ tấn công tuyên bố đã tìm thấy thêm thông tin xác thực và token xác thực trong mã nguồn
  • Trong đó có cả thông tin xác thực của hệ thống quản trị cơ sở dữ liệu của Internet Archive, cho phép các quyền truy cập sau
    • Tải xuống cơ sở dữ liệu người dùng của tổ chức
    • Tải xuống thêm mã nguồn
    • Chỉnh sửa trang web
  • Kẻ tấn công tuyên bố đã đánh cắp 7TB dữ liệu từ Internet Archive, nhưng không chia sẻ mẫu bằng chứng
  • Sau đó, dữ liệu bị đánh cắp được phát hiện còn bao gồm token truy cập API dành cho hệ thống hỗ trợ Zendesk của Internet Archive

Khoảng trống ứng phó vẫn còn dù đã được cảnh báo nhiều lần

  • BleepingComputer đã liên hệ với Internet Archive nhiều lần, đề nghị chia sẻ cách vụ xâm nhập xảy ra và động cơ của nó
  • Lần liên hệ gần nhất là vào thứ Sáu, nhưng không nhận được phản hồi
  • Vụ xâm nhập Zendesk lần này liên quan đến tuyên bố của kẻ tấn công rằng các token liên quan chưa được thay thế đầy đủ sau khi token xác thực GitLab bị lộ

Động cơ tấn công và nguy cơ dữ liệu bị lưu hành

  • Sau vụ xâm nhập Internet Archive, các thuyết âm mưu lan truyền rằng Israel, chính phủ Mỹ hoặc các công ty đang tranh chấp bản quyền đứng sau vụ việc
  • Vụ xâm nhập này có vẻ xảy ra chủ yếu vì kẻ tấn công có thể thực hiện được, hơn là vì lý do chính trị hay tài chính
  • Trong các cộng đồng mua bán dữ liệu bị đánh cắp tồn tại các động cơ như sau
    • Tống tiền nạn nhân để lấy tiền
    • Bán dữ liệu cho kẻ tấn công khác
    • Thu thập dữ liệu rò rỉ
    • Đạt cyber street cred bằng cách công khai rò rỉ dữ liệu
  • Internet Archive là một website nổi tiếng và rất phổ biến, nên việc tấn công thành công có thể giúp nâng cao danh tiếng của kẻ tấn công
  • Chưa ai công khai nhận trách nhiệm về vụ xâm nhập này, nhưng được biết kẻ tấn công đã thực hiện vụ việc trong lúc trò chuyện nhóm với những người khác, và nhiều người đã nhận được một phần dữ liệu bị đánh cắp
  • Cơ sở dữ liệu này có thể đang được mua bán trong các cộng đồng dữ liệu rò rỉ, và trong tương lai có thể bị phát tán miễn phí trên các diễn đàn hacker như Breached

1 bình luận

 
GN⁺ 2024-10-21
Ý kiến trên Hacker News
  • Thật buồn khi thấy các tác nhân đe dọa tấn công một dịch vụ vị tha như Internet Archive. Những hành vi thụt lùi như vậy làm nhụt chí

    • Không phải là muốn bênh vực kẻ tấn công, nhưng tôi xem IA là một hàng hóa công. Tuy vậy, một trong các thông điệp của vụ này cũng có thể được hiểu như là họ muốn chỉ ra một vấn đề mà IA đã bỏ sót
      “Dù bạn định hỏi một câu thông thường, hay yêu cầu xóa một trang khỏi Wayback Machine, dữ liệu của bạn giờ đã nằm trong tay một người ngẫu nhiên nào đó. Nếu không phải tôi thì cũng sẽ là người khác.”
      Vì vậy tôi bắt đầu nghĩ rằng lập luận rằng một tổ chức duy nhất không nên phải chịu trách nhiệm cho một việc quan trọng như thế này cũng có lý
    • Có rất nhiều người đã thấm sâu giáo điều về quyền tài sản tưởng tượng, và sinh kế của họ cũng gắn với nó, nên chuyện này cũng không quá đáng ngạc nhiên
    • Nhìn theo cách khác, có lẽ ta nên biết ơn vì họ thuộc kiểu người xâm nhập IA rồi công khai thông báo và yêu cầu sửa hệ thống. Một kẻ tấn công khác có thể đã xóa sạch, âm thầm thay đổi nội dung, hoặc làm những việc tệ hơn nữa có thể tưởng tượng được
      Theo nghĩa là họ phơi bày sự thật rằng một tổ chức lớn xử lý rất nhiều thông tin định danh cá nhân lại hoàn toàn không chú ý đến bảo mật, thì họ đang đóng vai trò vì lợi ích công
    • Bất cứ nơi nào có nhiều lưu lượng truy cập đều trở thành mục tiêu. Tầm với tiềm năng quan trọng hơn việc tổ chức đó làm gì
      Hành vi phạm tội thì vẫn là hành vi phạm tội. Những nơi thu hút nhiều khách truy cập phải có bảo mật đúng mức để khách hàng không trở thành nạn nhân
    • Có vẻ kẻ tấn công chỉ nhắm đến danh tiếng trong giới ngầm, còn vụ xâm nhập thứ hai trông như một tín hiệu nhắc nhở rằng IA vẫn chưa sửa cho đúng sau vụ đầu tiên
      Mọi chuyện đã có thể tệ hơn
  • Với người có kiến thức vững về an toàn thông tin, đây là cơ hội tốt để đóng góp chuyên môn miễn phí cho một mục đích tốt

    • Lúc này chắc họ đang bị chôn vùi trong quá nhiều lời đề nghị kiểu đó
    • Đến mức này thì nên cân nhắc viết lại từ đầu. Có cảm giác họ đang chạy một stack công nghệ đâu đó từ khoảng năm 1992
  • Library of Congress nên là nơi bảo tồn Internet, và cũng nên có ngân sách để làm việc đó
    Điều này cũng phù hợp với sứ mệnh mang tên “Library of Congress”. Có một hồ sơ chính xác về những gì đã tồn tại trên Internet tại một thời điểm nhất định sẽ hữu ích khi thảo luận về luật pháp hoặc quy định liên quan đến Internet

  • Cần một kho lưu trữ dựa trên lưu trữ phân tán. Tôi thích và ủng hộ công việc của Internet Archive, nhưng việc bảo tồn lịch sử quá quan trọng để chỉ giao cho một tổ chức duy nhất, tức một điểm lỗi đơn lẻ

    • Mỗi khi có bài kiểu này, trong phần bình luận gần như ít nhất một lần cũng có người nhắc đến chuyện này
      IA cũng đã cố gắng phân tán kho lưu trữ, nhưng thực tế không có đủ người sẵn sàng bỏ không gian lưu trữ của mình ra như lời nói
    • Có một cách tiếp cận là “càng nhiều bản sao thì dữ liệu càng an toàn”
      https://www.lockss.org/
      Đây là một hệ thống tuyệt vời dựa vào giao thức đồng thuận ngẫu nhiên. Tôi từng muốn lấy nó làm đề tài cho một bài báo an toàn thông tin, nhưng mô hình bảo mật được thiết kế quá tốt nên tôi chẳng có gì để bổ sung
    • Để khiến web thân thiện với lưu trữ phân tán, tôi nghĩ ta nên tham chiếu đối tượng bằng hash, chứ không phải bằng đường dẫn mà một máy chủ ngầm hứa sẽ phục vụ nhất quán nhưng thực tế lại hiển thị dữ liệu khác nhau theo từng thời điểm vì đủ loại lý do
      Nếu dữ liệu khác nhau luôn nhận tham chiếu khác nhau, ta sẽ dễ biết liệu đã có đủ bản sao lưu hay chưa. Nếu cùng một tên trỏ đến một đống snapshot được chụp trong các điều kiện khác nhau, rất khó chắc chắn đối tượng nào dưới cái tên đó là thứ ta muốn sao lưu
    • LibGen và Sci-Hub là hình mẫu ở điểm này. Họ dùng tốt các công nghệ phù hợp với mục đích: torrent + IPFS + các mirror HTTP đơn giản ở nhiều nơi
      Dữ liệu đúng là lớn, nhưng không lớn bằng Archive.org: https://libgen.is/repository_torrent/. Dù vậy vẫn cần kinh phí cho các nút phân tán như vậy, và mục tiêu chính có vẻ là khả năng chống chịu
    • Tôi đã thiết kế một hệ thống mà nếu ai đó nói “tôi sẽ tặng 2TB dung lượng đĩa còn trống cho Internet Archive”, thì IA sẽ đẩy 2TB dữ liệu vào đó. Hệ thống này cũng có tính chất là có thể tái cấu trúc lại ngay cả khi IA hoặc nhà cung cấp khác biến mất
      Nhưng khi tôi hỏi một vài nhóm lưu trữ, bao gồm IA, xem họ có muốn dùng không, thì hoặc không nhận được trả lời, hoặc chỉ nhận được phản hồi tiêu cực
  • Có ai biết ai đang nhắm vào Internet Archive và vì sao không? Tôi có cảm giác cuộc tấn công quá tinh vi để coi là chỉ do những kẻ phá hoại nghịch ngợm

    • Trông giống như chuyện tè vào lọ muối thôi. Internet Archive rõ ràng là một cấu trúc được chống đỡ bằng băng keo duct tape và ý chí cá nhân. Tất nhiên, đó là loại duct tape chắc và bền
      Hơn nữa, nhiệm vụ chính của họ là phát tán dữ liệu, chứ không phải giấu dữ liệu để kiếm lợi nhuận
      Nguyên văn trí tuệ cổ xưa dành cho ai chưa biết phép ẩn dụ lọ muối:
      https://web.archive.org/web/20060619131835/http://xelios.liv...
      Bản dịch thì cứ chọn bản nào cũng được:
      https://malaya-zemlya.livejournal.com/697779.html
      https://personal-view.com/talks/discussion/25915/humor-hacke...
      https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
    • Không hiểu vì sao bạn lại thấy vậy. Nhìn thông điệp của kẻ tấn công thì tất cả đều giống kẻ phá hoại nghịch ngợm, và tôi cũng không thấy dấu hiệu nào cho thấy hệ thống của IA trông như Fort Knox
      Ngay từ đầu họ có thể đã cho rằng gần như không ai có lý do để nhắm vào mình, nên nếu bảo mật khá lỏng lẻo thì cũng không đáng ngạc nhiên
    • Nhóm tuyên bố đã thực hiện vụ hack đầu tiên được cho là có căn cứ ở Nga, chống Mỹ và thân Palestine, và họ nói lý do tấn công là vi phạm bản quyền của IA
      Mỗi người có thể tự rút ra kết luận có cơ sở hơn, nhưng với tôi thì vụ này có mùi cơ quan nhà nước khá nặng
    • Nhìn nhiều bình luận kêu gọi thay đổi ban lãnh đạo, nếu đội mũ giấy bạc lên thì cũng có thể đây là một nỗ lực có tổ chức nhằm buộc thay đổi ban lãnh đạo
    • Có lẽ các hacker mũ trắng đã báo cho IA về các vấn đề bảo mật nhưng bị phớt lờ, nên họ hack theo cách có vẻ không gây hư hại lớn để buộc IA phải hành động
  • Tôi không biết mô hình tài chính của họ thế nào, nhưng nếu có tiền mặt thì tuyển đội bảo mật nên là khoản đầu tư ưu tiên số một

    • Ít nhất ở thời điểm hiện tại, mô hình tài chính của IA có lẽ gần với việc toát mồ hôi lạnh chờ một phán quyết pháp lý khổng lồ
  • Kẻ phá hoại nào lại đi tấn công thư viện chứ? Thật sự cần tìm ra kẻ chịu trách nhiệm

    • Những cuộc tấn công Internet kiểu này luôn xảy ra với trẻ em vận hành server Minecraft, các chủ doanh nghiệp nhỏ, lập trình viên nghiệp dư, v.v. Việc tìm ra người chịu trách nhiệm thường khó hoặc bất khả thi, và các cơ quan như FBI thường dành nguồn lực cho những vụ lớn hơn, chẳng hạn tội phạm mạng liên quan đến buôn ma túy hoặc tống tiền
      Thực tế đáng buồn là trên Internet có rất nhiều người bị tấn công một cách bất công, và do thiếu mức độ tập trung điều tra cũng như thiếu nguồn lực, phần lớn không bị trừng phạt
    • Ai được lợi từ cuộc tấn công này? Ai đã gây áp lực buộc IA gỡ sách xuống?
  • Hãy tưởng tượng một thế giới nơi mỗi khi snapshot của Wayback Machine giúp ích cho một vụ kiện, các luật sư lại gửi vài đô la cho IA. Khi đó họ sẽ sớm đủ sức duy trì một đội ngũ quản trị viên tầm cỡ thế giới

    • Đó là một giải pháp tệ hại. Wayback Machine sẽ gỡ snapshot nếu người kiểm soát domain yêu cầu. Đó không phải là kho lưu trữ
      Nếu trạng thái của trang web trong quá khứ là quan trọng, bạn cần một bản ghi không biến mất chỉ vì phía bên kia yêu cầu. perma.cc chính là khái niệm đó
  • Tôi đã gửi CV gần một năm trước mà đến hôm qua vẫn chưa nhận được phản hồi nào. Có vẻ giờ họ đang lục lại đống hồ sơ ứng tuyển tồn đọng để tìm người phụ giúp

  • Gửi tới tất cả những ai nghĩ cần có một lựa chọn thay thế tốt hơn IA, hoặc tin rằng có giải pháp khác, hoặc cho rằng nên để một tổ chức khác vận hành: không ai ngăn cản việc tạo ra một đối thủ thay thế cả
    Nhờ những gì IA đã làm và chia sẻ, điểm xuất phát của bạn thậm chí còn thuận lợi hơn rồi, nên cứ thử tự làm đi