Internet Archive снова взломали с помощью украденных токенов доступа

Internet Archive снова взломали, на этот раз через платформу поддержки электронной почты Zendesk. Ранее злоумышленники украли открытые токены аутентификации GitLab.

Теперь они  стали рассылать пользователям письма с уведомлением о взломе. «Удручает то, что даже после сообщения о взломе несколько недель назад IA до сих пор не проявила должной осмотрительности и не провела ротацию многих ключей API, которые были раскрыты в GitLab», — говорится в электронном письме от злоумышленника. Использованный им токен Zendesk даёт разрешения на доступ к более чем 800 тыс. тикетов поддержки, отправленных на [email protected] с 2018 года.

Заголовки писем неизвестного проходят все проверки подлинности DKIM, DMARC и SPF, и это доказывает, что они были отправлены авторизованным сервером Zendesk по адресу 192.161.151.10. Получатель письма сообщил BleepingComputer, что ему необходимо загрузить персональные идентификационные данные при запросе удаления страницы из Wayback Machine.

В BleepingComputer неоднократно пытались предупредить Internet Archive о том, что их исходный код был украден с помощью токена аутентификации GitLab, который был доступен в сети в течение почти двух лет.

В начале октября IA подвергся двум разным атакам одновременно — в ходе одной из них произошла кража данных 31 млн пользователей сайта, а вторая выглядела как DDoS, её провела пропалестинская группа SN_BlackMeta. Эти атаки совершили разные злоумышленники, но многие СМИ неверно приписали их SN_BlackMeta. Вероятно, это разочаровало хакера, стоящего за утечкой. Он связался с BleepingComputer через посредника, чтобы взять на себя ответственность за атаку и объяснить, как взломали Internet Archive.

Злоумышленник сообщил BleepingComputer, что он обнаружил раскрытый файл