Internet Archive, una organización sin ánimo de lucro fundada por Brewster Kahle con el propósito de preservar la historia de Internet, ha sufrido dos brechas de seguridad en este mes de octubre de 2024.
La primera brecha sucedió el 9 de octubre de 2024, en la que se filtraron 7 TB de datos, incluyendo el código fuente de Internet Archive, direcciones de correo electrónico y hashes Bcrypt de contraseñas de 31 millones de usuarios, a partir de un token de GitLab que estaba expuesto desde finales de 2022. Al mismo tiempo, Internet Archive también sufrió un ataque de denegación de servicio distribuida (DDoS), dejando inutilizado el servicio Wayback Machine, que capturaba el contenido de miles de millones de sitios web a lo largo del tiempo, permitiendo así ver cómo eran en el pasado. El grupo hacktivista propalestino DarkMeta se atribuyó la responsabilidad por el ataque de DDoS.
El 18 de octubre, Kahle confirmó que los datos almacenados estaban a salvo, que el funcionamiento del sitio web continuaba con normalidad y que la organización tomaría precaución para reconstruir y reforzar las defensas.
No obstante, el 20 de octubre, ocurrió la segunda brecha, que aprovechaba claves de API de Zendesk que no se habían rotado desde los ataques anteriores para acceder al sistema de soporte de Internet Archive. Las claves permitieron el acceso a más de 800.000 tickets de soporte desde 2018, algunos de los cuales contenían documentos de identidad que era necesario presentar según algunos usuarios para solicitar la eliminación de una página en el Wayback Machine.
El actor malicioso detrás del ataque envió la siguiente respuesta a los usuarios que habían utilizado el sistema de soporte:
Fuente de la imagen: BleepingComputer
Los correos desde los cuales se notificó la filtración pasaban todas las comprobaciones DMARC (SPF y DKIM), demostrando que fueron enviadas por un servidor autorizado de Zendesk:
Fuente de la imagen: BleepingComputer
Se especula que los ataques no estuvieron motivados por el beneficio económico, sino por el prestigio dentro de las comunidades hacker. Aunque no se demandó ningún rescate, el robo de los datos supondría riesgos como la exposición a ataques de phishing y el robo de identidad.
Hasta la fecha, no ha habido una respuesta oficial de Internet Archive a esta segunda brecha. Sin embargo, se podría haber prevenido si se hubiesen rotado todas las claves de API filtradas.
Más información:
- Internet Archive (Archive.Org) Hacked: 31 Million Accounts Compromised: https://hackread.com/internet-archive-archive-org-hacked-accounts-compromised/
- Internet Archive (Archive.org) Hacked for Second Time in a Month: https://hackread.com/internet-archive-archive-org-hacked-for-second-time/
- Internet Archive breached again through stolen access tokens: https://www.bleepingcomputer.com/news/security/internet-archive-breached-again-through-stolen-access-tokens
- Internet Archive Breached Again—Third Cyber Attack In October 2024: https://www.forbes.com/sites/larsdaniel/2024/10/20/internet-archive-breached-again-third-cyber-attack-in-october-2024
Deja una respuesta