- Internet Archiveは、先日のデータ侵害とDDoSの後も露出した認証トークンの問題が残っており、今回はZendeskのメールサポートシステムまで侵害された
- 攻撃者は、2018年以降にinfo@archive.orgへ送信された80万件以上のサポートチケットにアクセス可能なZendeskトークンを確保したと明かしており、送信メールはDKIM、DMARC、SPFの検査を通過した
- 初期侵害は、開発サーバーのGitLab設定ファイルに露出していたトークンから始まり、そのトークンは少なくとも2022年12月から露出していたことが確認された
- 盗まれたソースコードには、データベース管理システムの認証情報と追加トークンが含まれており、ユーザーデータベースやサイト改変権限にまでアクセスされた可能性がある
- 政治や金銭よりもcyber street credの獲得に近い攻撃とみられ、盗まれたデータが侵害データのコミュニティやハッキングフォーラムに流通するリスクが残っている
Zendeskサポートシステムにまで及んだ侵害
- Internet Archiveは今回、Zendeskのメールサポートプラットフォームを通じて再び侵害された
- 過去にInternet Archiveへ削除依頼を送った複数のユーザーが返信を受け取り、そのメッセージでは組織が盗まれた認証トークンを適切に差し替えていないと警告していた
- 攻撃者のメールには、Internet Archiveが数週間前に侵害を認識した後も、GitLab secretsに露出していた複数のAPIキーをローテーションしていなかったという内容が含まれていた
- 攻撃者は、Zendeskトークンに2018年以降info@archive.orgへ送られた80万件以上のサポートチケットへのアクセス権があると述べた
- そのメールヘッダーは、DKIM、DMARC、SPFの認証検査をすべて通過しており、192.161.151.10の認可済みZendeskサーバーから送信されたことが確認された
サポートチケット添付ファイルが露出した可能性
- 一部のユーザーは、Wayback Machineでページ削除を依頼する際に個人の身分証明書をアップロードする必要があった
- 攻撃者がZendesk APIアクセス権でサポートチケットをダウンロードしていた場合、これらの添付ファイルにもアクセスした可能性がある
- Zendeskにはチケット添付ファイルを参照するAPIがあり、実際の露出範囲は攻撃者が持っていたAPI権限と利用状況によって変わる
GitLabトークンの露出と先行する攻撃
- 10月9日、Internet Archiveは同時期に2種類の攻撃を受けた
- サイト利用者3,300万人分のデータが盗まれたデータ侵害
- SN_BlackMetaという親パレスチナ志向を名乗るグループによるDDoS攻撃
- 2つの攻撃は同じ時期に起きたが、別々の攻撃者によって実行された
- 複数メディアがSN_BlackMetaをデータ侵害の背後と誤って報じたが、実際のデータ侵害の攻撃者は別途BleepingComputerに連絡し、攻撃手法を説明した
- 初期侵害は、Internet Archiveの開発サーバーであるservices-hls.dev.archive.orgに露出していたGitLab設定ファイルから始まった
- そのGitLabトークンは少なくとも2022年12月から露出しており、その後複数回ローテーションされたことが確認された
ソースコードから広がった追加アクセス
- 攻撃者は、GitLab設定ファイルの認証トークンでInternet Archiveのソースコードをダウンロードできたと述べた
- 攻撃者は、ソースコード内で追加の認証情報と認証トークンを見つけたと主張した
- これにはInternet Archiveのデータベース管理システムの認証情報も含まれ、これにより次のアクセスが可能だったという
- 組織のユーザーデータベースのダウンロード
- 追加のソースコードのダウンロード
- サイト改変
- 攻撃者はInternet Archiveから7TBのデータを盗んだと主張したが、証拠サンプルは共有していない
- その後、盗まれたデータにはInternet ArchiveのZendeskサポートシステム向けAPIアクセストークンも含まれていたことが判明した
繰り返しの警告にも残る対応の空白
- BleepingComputerはInternet Archiveに何度も連絡し、侵害の発生方法と動機を共有すると申し出ていた
- 最も最近の連絡は金曜日だったが、返答は得られなかった
- 今回のZendesk侵害は、GitLab認証トークン露出後に関連トークンを十分に交換しなかったという攻撃者の主張と結びついている
攻撃の動機とデータ流通リスク
- Internet Archive侵害の背後には、イスラエル、米国政府、著作権紛争中の企業がいるという陰謀論が広がった
- 今回の侵害は、政治的理由や金銭的理由よりも、攻撃者に実行可能だったために起きたものに近いとみられる
- 盗難データ取引コミュニティには次のような動機がある
- 被害者を脅して金を受け取ること
- 他の攻撃者にデータを販売すること
- 侵害データを収集すること
- 公開流出によってcyber street credを得ること
- Internet Archiveはよく知られた非常に人気の高いWebサイトであり、攻撃者の評判を高めるのに役立つ
- 誰も今回の侵害を公に主張していないが、攻撃者は他の人々とグループチャットをしながら侵害を実行し、複数人が盗まれたデータの一部を受け取ったとされる
- そのデータベースは侵害データのコミュニティで取引されている可能性があり、今後Breachedのようなハッキングフォーラムに無料で流出する可能性がある
1件のコメント
Hacker News の意見
Internet Archive のような利他的なサービスを攻撃する脅威アクターを見るのは本当に悲しい。こうした退行的な行為は士気をくじく
「一般的な質問をしようとしていたにせよ、Wayback Machineからサイトの削除を依頼しようとしていたにせよ、あなたのデータは今やどこかの任意の人物の手にある。私でなければ、別の誰かだっただろう。」
だから、これほど重要な仕事を一つの組織だけに任せるべきではないという話には一理あるのではないかと考えさせられる
多くの個人識別情報を扱う巨大組織がセキュリティをまったく気にしていないという事実を明らかにする点では、公益的な役割を果たしているとも言える
犯罪行為は単に犯罪行為だ。多くの訪問者を集める場所は、利用者が被害者にならないよう、きちんとセキュリティを整えるべきだ
もっと悪い事態にもなり得た
情報セキュリティの知識がしっかりある人にとっては、よい目的のために無償で専門性を提供する良い機会だ
Library of Congress がインターネットを保存すべきで、そのための予算も持つべきだ
「Library of Congress」という使命にも合っている。特定の時点でインターネット上に何があったかの正確な記録を持つことは、インターネット関連の立法や規制を議論する際に役立つ
Wikipedia[2]によるとHeritrixとWaybackベースで、どちらもInternet Archiveが開発したものだ。ブログ記事も「Wayback software」に言及している。現在の保存資料はここで見られる: http://webarchive.loc.gov/
[0] https://www.loc.gov/programs/web-archiving/about-this-progra...
[1] https://blogs.loc.gov/thesignal/2023/08/the-web-archiving-te...
[2] https://en.m.wikipedia.org/wiki/List_of_Web_archiving_initia...
分散ストレージベースのアーカイブが必要だ。Internet Archiveの取り組みは好きだし支持しているが、歴史を保存する仕事は、単一の組織、つまり単一障害点だけに任せるには重要すぎる
IAもストレージを分散しようと試みたが、言うほど実際に自分のストレージ容量を差し出した人は十分ではなかった
https://www.lockss.org/
ランダム化された合意プロトコルに依存する素晴らしいシステムだ。情報セキュリティの論文テーマにしたかったが、セキュリティモデルがあまりにうまく設計されていて、自分が付け加えられることがなかった
異なるデータが常に異なる参照を受け取るなら、バックアップが十分かどうか分かりやすい。同じ名前が異なる条件で撮られたスナップショットの山を指すなら、その名前について私たちがバックアップしたい対象が何なのか確信しにくい
データは大きいがArchive.orgほどではない: https://libgen.is/repository_torrent/. それでも、こうした分散ノードに回す資金は必要で、主な目的はレジリエンスのように見える
しかしIAを含むいくつかのアーカイブチームに利用する意思があるか尋ねたところ、返事がないか否定的な回答しか得られなかった
誰が、なぜ Internet Archive を狙っているのか知っている人はいる? 単なる愉快犯的な破壊者と見るには、攻撃があまりに巧妙だという印象を受ける
それに主な使命はデータを広めることであって、収益を上げるためにデータを隠すことではない
塩入れの比喩を知らない人のための古代の知恵の原文:
https://web.archive.org/web/20060619131835/http://xelios.liv...
翻訳はどれでも好きなものを選べばいい:
https://malaya-zemlya.livejournal.com/697779.html
https://personal-view.com/talks/discussion/25915/humor-hacke...
https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
そもそも自分たちが狙われる理由はほとんどないと考えていて、セキュリティにかなり甘かったとしても驚かない
各自もっと根拠のある結論を出せばいいが、私にはかなり政府機関の匂いがする
資金モデルがどうなっているのかは分からないが、現金があるならセキュリティチームの採用が最優先の投資項目であるべきだと思う
どんな破壊者が図書館を攻撃するんだ? 責任者を本当に突き止めるべきだ
悲しい現実は、インターネット上で不当に攻撃されている人が多く、捜査の優先度とリソース不足のために、そのかなりの数が処罰されないということだ
Wayback Machine のスナップショットが訴訟に役立つたびに、弁護士たちが IA に数ドルずつ送る世界を想像している。そうすればすぐに世界レベルの管理者チームを賄えるはずだ
過去のウェブページの状態が重要なら、相手が要請したからといって消えない記録が必要だ。perma.cc がまさにそういう概念だ
ほぼ1年前に履歴書を送ったが、昨日まで何の返事もなかった。今、滞留していた応募書類を掘り返して人手を探しているようだ
IA より優れた代替案が必要だと思う人、別の解決策があると信じる人、別の組織が運営すべきだと考える人すべてへ: 競合する代替案が生まれるのを妨げた人は誰もいない
すでに IA が行い、共有してきた作業のおかげで出発点も先に進んでいるのだから、自分で試してみればいい