Internet Archive lại bị xâm nhập do token truy cập bị đánh cắp
(bleepingcomputer.com)- Internet Archive vẫn còn vấn đề token xác thực bị lộ sau vụ rò rỉ dữ liệu và DDoS trước đó, lần này dẫn đến cả hệ thống hỗ trợ qua email Zendesk cũng bị xâm nhập
- Kẻ tấn công cho biết đã có được token Zendesk cho phép truy cập hơn 800.000 ticket hỗ trợ gửi đến info@archive.org từ năm 2018, và email được gửi đã vượt qua các kiểm tra DKIM, DMARC, SPF
- Vụ xâm nhập ban đầu bắt nguồn từ token bị lộ trong tệp cấu hình GitLab trên máy chủ phát triển, và token này được xác nhận đã bị lộ ít nhất từ tháng 12/2022
- Mã nguồn bị đánh cắp chứa thông tin xác thực của hệ thống quản trị cơ sở dữ liệu và các token bổ sung, nên có khả năng kẻ tấn công đã truy cập được cơ sở dữ liệu người dùng và quyền chỉnh sửa trang web
- Cuộc tấn công có vẻ nhằm đạt cyber street cred hơn là vì chính trị hay tiền bạc, và vẫn còn nguy cơ dữ liệu bị đánh cắp được lưu hành trong các cộng đồng dữ liệu rò rỉ hoặc diễn đàn hacker
Vụ xâm nhập lan tới cả hệ thống hỗ trợ Zendesk
- Internet Archive lần này lại bị xâm nhập thông qua nền tảng hỗ trợ email Zendesk
- Nhiều người dùng từng gửi yêu cầu gỡ bỏ đến Internet Archive trước đây đã nhận được thư trả lời, trong đó cảnh báo rằng tổ chức này chưa thay thế đúng cách các token xác thực bị đánh cắp
- Email của kẻ tấn công cho biết Internet Archive, dù đã biết về vụ xâm nhập vài tuần trước, vẫn chưa xoay vòng nhiều khóa API bị lộ trong GitLab secrets
- Kẻ tấn công cho biết token Zendesk có quyền truy cập hơn 800.000 ticket hỗ trợ được gửi đến info@archive.org từ năm 2018
- Header của email này đã vượt qua tất cả các kiểm tra xác thực DKIM, DMARC, SPF, và được xác nhận là gửi từ máy chủ Zendesk được ủy quyền tại 192.161.151.10
Khả năng lộ tệp đính kèm trong ticket hỗ trợ
- Một số người dùng từng phải tải lên giấy tờ tùy thân cá nhân khi yêu cầu xóa trang khỏi Wayback Machine
- Nếu kẻ tấn công đã tải ticket hỗ trợ xuống bằng quyền truy cập Zendesk API, chúng cũng có thể đã truy cập được các tệp đính kèm đó
- Zendesk có API để xem tệp đính kèm của ticket, và phạm vi lộ thực tế phụ thuộc vào quyền API mà kẻ tấn công có cũng như việc chúng có sử dụng quyền đó hay không
Token GitLab bị lộ và các cuộc tấn công trước đó
- Ngày 9/10, Internet Archive hứng chịu hai cuộc tấn công trong cùng thời điểm
- Vụ rò rỉ dữ liệu khiến dữ liệu của 33 triệu người dùng trang web bị đánh cắp
- Cuộc tấn công DDoS của một nhóm tự nhận có khuynh hướng ủng hộ Palestine tên là SN_BlackMeta
- Hai cuộc tấn công diễn ra trong cùng khoảng thời gian nhưng do các kẻ tấn công khác nhau thực hiện
- Nhiều hãng tin đã đưa nhầm rằng SN_BlackMeta đứng sau vụ rò rỉ dữ liệu, nhưng kẻ tấn công thực sự của vụ rò rỉ đã liên hệ riêng với BleepingComputer để giải thích cách thức tấn công
- Vụ xâm nhập ban đầu bắt đầu từ tệp cấu hình GitLab bị lộ trên máy chủ phát triển của Internet Archive là services-hls.dev.archive.org
- Token GitLab này đã bị lộ ít nhất từ tháng 12/2022, và sau đó được xác nhận là đã được xoay vòng nhiều lần
Truy cập bổ sung từ mã nguồn
- Kẻ tấn công cho biết token xác thực trong tệp cấu hình GitLab cho phép tải xuống mã nguồn của Internet Archive
- Kẻ tấn công tuyên bố đã tìm thấy thêm thông tin xác thực và token xác thực trong mã nguồn
- Trong đó có cả thông tin xác thực của hệ thống quản trị cơ sở dữ liệu của Internet Archive, cho phép các quyền truy cập sau
- Tải xuống cơ sở dữ liệu người dùng của tổ chức
- Tải xuống thêm mã nguồn
- Chỉnh sửa trang web
- Kẻ tấn công tuyên bố đã đánh cắp 7TB dữ liệu từ Internet Archive, nhưng không chia sẻ mẫu bằng chứng
- Sau đó, dữ liệu bị đánh cắp được phát hiện còn bao gồm token truy cập API dành cho hệ thống hỗ trợ Zendesk của Internet Archive
Khoảng trống ứng phó vẫn còn dù đã được cảnh báo nhiều lần
- BleepingComputer đã liên hệ với Internet Archive nhiều lần, đề nghị chia sẻ cách vụ xâm nhập xảy ra và động cơ của nó
- Lần liên hệ gần nhất là vào thứ Sáu, nhưng không nhận được phản hồi
- Vụ xâm nhập Zendesk lần này liên quan đến tuyên bố của kẻ tấn công rằng các token liên quan chưa được thay thế đầy đủ sau khi token xác thực GitLab bị lộ
Động cơ tấn công và nguy cơ dữ liệu bị lưu hành
- Sau vụ xâm nhập Internet Archive, các thuyết âm mưu lan truyền rằng Israel, chính phủ Mỹ hoặc các công ty đang tranh chấp bản quyền đứng sau vụ việc
- Vụ xâm nhập này có vẻ xảy ra chủ yếu vì kẻ tấn công có thể thực hiện được, hơn là vì lý do chính trị hay tài chính
- Trong các cộng đồng mua bán dữ liệu bị đánh cắp tồn tại các động cơ như sau
- Tống tiền nạn nhân để lấy tiền
- Bán dữ liệu cho kẻ tấn công khác
- Thu thập dữ liệu rò rỉ
- Đạt cyber street cred bằng cách công khai rò rỉ dữ liệu
- Internet Archive là một website nổi tiếng và rất phổ biến, nên việc tấn công thành công có thể giúp nâng cao danh tiếng của kẻ tấn công
- Chưa ai công khai nhận trách nhiệm về vụ xâm nhập này, nhưng được biết kẻ tấn công đã thực hiện vụ việc trong lúc trò chuyện nhóm với những người khác, và nhiều người đã nhận được một phần dữ liệu bị đánh cắp
- Cơ sở dữ liệu này có thể đang được mua bán trong các cộng đồng dữ liệu rò rỉ, và trong tương lai có thể bị phát tán miễn phí trên các diễn đàn hacker như Breached
1 bình luận
Ý kiến trên Hacker News
Thật buồn khi thấy các tác nhân đe dọa tấn công một dịch vụ vị tha như Internet Archive. Những hành vi thụt lùi như vậy làm nhụt chí
“Dù bạn định hỏi một câu thông thường, hay yêu cầu xóa một trang khỏi Wayback Machine, dữ liệu của bạn giờ đã nằm trong tay một người ngẫu nhiên nào đó. Nếu không phải tôi thì cũng sẽ là người khác.”
Vì vậy tôi bắt đầu nghĩ rằng lập luận rằng một tổ chức duy nhất không nên phải chịu trách nhiệm cho một việc quan trọng như thế này cũng có lý
Theo nghĩa là họ phơi bày sự thật rằng một tổ chức lớn xử lý rất nhiều thông tin định danh cá nhân lại hoàn toàn không chú ý đến bảo mật, thì họ đang đóng vai trò vì lợi ích công
Hành vi phạm tội thì vẫn là hành vi phạm tội. Những nơi thu hút nhiều khách truy cập phải có bảo mật đúng mức để khách hàng không trở thành nạn nhân
Mọi chuyện đã có thể tệ hơn
Với người có kiến thức vững về an toàn thông tin, đây là cơ hội tốt để đóng góp chuyên môn miễn phí cho một mục đích tốt
Library of Congress nên là nơi bảo tồn Internet, và cũng nên có ngân sách để làm việc đó
Điều này cũng phù hợp với sứ mệnh mang tên “Library of Congress”. Có một hồ sơ chính xác về những gì đã tồn tại trên Internet tại một thời điểm nhất định sẽ hữu ích khi thảo luận về luật pháp hoặc quy định liên quan đến Internet
Theo Wikipedia[2], nó dựa trên Heritrix và Wayback, cả hai đều do Internet Archive phát triển. Bài viết blog cũng nhắc đến “Wayback software”. Tư liệu đang được bảo tồn hiện có thể xem tại đây: http://webarchive.loc.gov/
[0] https://www.loc.gov/programs/web-archiving/about-this-progra...
[1] https://blogs.loc.gov/thesignal/2023/08/the-web-archiving-te...
[2] https://en.m.wikipedia.org/wiki/List_of_Web_archiving_initia...
Cần một kho lưu trữ dựa trên lưu trữ phân tán. Tôi thích và ủng hộ công việc của Internet Archive, nhưng việc bảo tồn lịch sử quá quan trọng để chỉ giao cho một tổ chức duy nhất, tức một điểm lỗi đơn lẻ
IA cũng đã cố gắng phân tán kho lưu trữ, nhưng thực tế không có đủ người sẵn sàng bỏ không gian lưu trữ của mình ra như lời nói
https://www.lockss.org/
Đây là một hệ thống tuyệt vời dựa vào giao thức đồng thuận ngẫu nhiên. Tôi từng muốn lấy nó làm đề tài cho một bài báo an toàn thông tin, nhưng mô hình bảo mật được thiết kế quá tốt nên tôi chẳng có gì để bổ sung
Nếu dữ liệu khác nhau luôn nhận tham chiếu khác nhau, ta sẽ dễ biết liệu đã có đủ bản sao lưu hay chưa. Nếu cùng một tên trỏ đến một đống snapshot được chụp trong các điều kiện khác nhau, rất khó chắc chắn đối tượng nào dưới cái tên đó là thứ ta muốn sao lưu
Dữ liệu đúng là lớn, nhưng không lớn bằng Archive.org: https://libgen.is/repository_torrent/. Dù vậy vẫn cần kinh phí cho các nút phân tán như vậy, và mục tiêu chính có vẻ là khả năng chống chịu
Nhưng khi tôi hỏi một vài nhóm lưu trữ, bao gồm IA, xem họ có muốn dùng không, thì hoặc không nhận được trả lời, hoặc chỉ nhận được phản hồi tiêu cực
Có ai biết ai đang nhắm vào Internet Archive và vì sao không? Tôi có cảm giác cuộc tấn công quá tinh vi để coi là chỉ do những kẻ phá hoại nghịch ngợm
Hơn nữa, nhiệm vụ chính của họ là phát tán dữ liệu, chứ không phải giấu dữ liệu để kiếm lợi nhuận
Nguyên văn trí tuệ cổ xưa dành cho ai chưa biết phép ẩn dụ lọ muối:
https://web.archive.org/web/20060619131835/http://xelios.liv...
Bản dịch thì cứ chọn bản nào cũng được:
https://malaya-zemlya.livejournal.com/697779.html
https://personal-view.com/talks/discussion/25915/humor-hacke...
https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
Ngay từ đầu họ có thể đã cho rằng gần như không ai có lý do để nhắm vào mình, nên nếu bảo mật khá lỏng lẻo thì cũng không đáng ngạc nhiên
Mỗi người có thể tự rút ra kết luận có cơ sở hơn, nhưng với tôi thì vụ này có mùi cơ quan nhà nước khá nặng
Tôi không biết mô hình tài chính của họ thế nào, nhưng nếu có tiền mặt thì tuyển đội bảo mật nên là khoản đầu tư ưu tiên số một
Kẻ phá hoại nào lại đi tấn công thư viện chứ? Thật sự cần tìm ra kẻ chịu trách nhiệm
Thực tế đáng buồn là trên Internet có rất nhiều người bị tấn công một cách bất công, và do thiếu mức độ tập trung điều tra cũng như thiếu nguồn lực, phần lớn không bị trừng phạt
Hãy tưởng tượng một thế giới nơi mỗi khi snapshot của Wayback Machine giúp ích cho một vụ kiện, các luật sư lại gửi vài đô la cho IA. Khi đó họ sẽ sớm đủ sức duy trì một đội ngũ quản trị viên tầm cỡ thế giới
Nếu trạng thái của trang web trong quá khứ là quan trọng, bạn cần một bản ghi không biến mất chỉ vì phía bên kia yêu cầu. perma.cc chính là khái niệm đó
Tôi đã gửi CV gần một năm trước mà đến hôm qua vẫn chưa nhận được phản hồi nào. Có vẻ giờ họ đang lục lại đống hồ sơ ứng tuyển tồn đọng để tìm người phụ giúp
Gửi tới tất cả những ai nghĩ cần có một lựa chọn thay thế tốt hơn IA, hoặc tin rằng có giải pháp khác, hoặc cho rằng nên để một tổ chức khác vận hành: không ai ngăn cản việc tạo ra một đối thủ thay thế cả
Nhờ những gì IA đã làm và chia sẻ, điểm xuất phát của bạn thậm chí còn thuận lợi hơn rồi, nên cứ thử tự làm đi