1 poin oleh GN⁺ 2024-10-21 | 1 komentar | Bagikan ke WhatsApp
  • Internet Archive kembali diretas, kali ini sampai ke sistem dukungan email Zendesk, karena masalah token autentikasi yang terekspos masih tersisa bahkan setelah insiden kebocoran data dan DDoS sebelumnya
  • Penyerang mengklaim telah memperoleh token Zendesk yang dapat mengakses lebih dari 800 ribu tiket dukungan yang masuk ke info@archive.org sejak 2018, dan email yang dikirim lolos pemeriksaan DKIM, DMARC, dan SPF
  • Pelanggaran awal bermula dari token yang terekspos dalam file konfigurasi GitLab di server pengembangan, dan token tersebut dipastikan telah terekspos setidaknya sejak Desember 2022
  • Kode sumber yang dicuri berisi kredensial sistem manajemen basis data dan token tambahan, sehingga ada kemungkinan akses juga mencakup basis data pengguna dan izin untuk memodifikasi situs
  • Serangan ini tampaknya lebih bertujuan mendapatkan cyber street cred daripada bermotif politik atau finansial, dan masih ada risiko data yang dicuri beredar di komunitas data hasil pelanggaran atau forum peretasan

Pelanggaran yang berlanjut hingga sistem dukungan Zendesk

  • Kali ini Internet Archive kembali diretas melalui platform dukungan email Zendesk
  • Beberapa pengguna yang sebelumnya mengirim permintaan penghapusan ke Internet Archive menerima balasan, dan pesan tersebut memperingatkan bahwa organisasi itu tidak mengganti token autentikasi yang dicuri dengan benar
  • Email penyerang menyebutkan bahwa meski Internet Archive telah menyadari pelanggaran beberapa minggu sebelumnya, mereka tidak merotasi sejumlah API key yang terekspos di GitLab secrets
  • Penyerang menyatakan token Zendesk tersebut memiliki hak akses ke lebih dari 800 ribu tiket dukungan yang dikirim ke info@archive.org sejak 2018
  • Header email tersebut lolos seluruh pemeriksaan autentikasi DKIM, DMARC, dan SPF, dan dipastikan dikirim dari server Zendesk resmi di 192.161.151.10

Kemungkinan tereksposnya lampiran tiket dukungan

  • Sebagian pengguna harus mengunggah identitas pribadi saat meminta penghapusan halaman dari Wayback Machine
  • Jika penyerang mengunduh tiket dukungan melalui akses API Zendesk, mereka juga mungkin dapat mengakses lampiran tersebut
  • Zendesk memiliki API untuk melihat lampiran tiket, dan cakupan eksposur sebenarnya bergantung pada hak API yang dimiliki penyerang serta apakah akses itu digunakan

Eksposur token GitLab dan serangan sebelumnya

  • Pada 9 Oktober, Internet Archive mengalami dua serangan dalam periode yang sama
    • Pelanggaran data yang mencuri data 33 juta pengguna situs
    • Serangan DDoS oleh kelompok yang mengaku pro-Palestina bernama SN_BlackMeta
  • Kedua serangan terjadi dalam periode yang sama, tetapi dilakukan oleh penyerang yang berbeda
  • Beberapa media keliru melaporkan SN_BlackMeta sebagai pihak di balik pelanggaran data, tetapi pelaku pelanggaran data yang sebenarnya secara terpisah menghubungi BleepingComputer dan menjelaskan metode serangannya
  • Pelanggaran awal bermula dari file konfigurasi GitLab yang terekspos di server pengembangan Internet Archive, services-hls.dev.archive.org
  • Token GitLab tersebut telah terekspos setidaknya sejak Desember 2022, dan kemudian dipastikan telah dirotasi beberapa kali

Akses tambahan yang berlanjut dari kode sumber

  • Penyerang menyatakan bahwa token autentikasi dalam file konfigurasi GitLab memungkinkan pengunduhan kode sumber Internet Archive
  • Penyerang mengklaim menemukan kredensial dan token autentikasi tambahan di dalam kode sumber
  • Ini termasuk kredensial sistem manajemen basis data Internet Archive, yang menurut mereka memungkinkan akses berikut
    • Mengunduh basis data pengguna organisasi
    • Mengunduh kode sumber tambahan
    • Memodifikasi situs
  • Penyerang mengklaim telah mencuri 7 TB data dari Internet Archive, tetapi tidak membagikan sampel bukti
  • Belakangan terungkap bahwa data yang dicuri juga mencakup token akses API untuk sistem dukungan Zendesk Internet Archive

Celah respons yang tetap ada meski sudah berulang kali diperingatkan

  • BleepingComputer beberapa kali menghubungi Internet Archive dan menawarkan untuk membagikan cara terjadinya pelanggaran serta motifnya
  • Kontak terbaru dilakukan pada hari Jumat, tetapi tidak mendapat respons
  • Pelanggaran Zendesk kali ini terkait dengan klaim penyerang bahwa token terkait tidak cukup diganti setelah eksposur token autentikasi GitLab

Motif serangan dan risiko peredaran data

  • Setelah pelanggaran Internet Archive, muncul teori konspirasi bahwa Israel, pemerintah AS, atau perusahaan yang sedang bersengketa hak cipta berada di baliknya
  • Pelanggaran ini tampaknya lebih terjadi karena penyerang mampu melakukannya, bukan karena alasan politik atau finansial
  • Di komunitas perdagangan data curian, terdapat motif berikut
    • Memeras korban untuk mendapatkan uang
    • Menjual data kepada penyerang lain
    • Mengumpulkan data hasil pelanggaran
    • Mendapatkan cyber street cred melalui kebocoran publik
  • Karena Internet Archive adalah situs web yang sangat dikenal dan sangat populer, insiden ini membantu meningkatkan reputasi penyerang
  • Belum ada pihak yang secara terbuka mengklaim pelanggaran ini, tetapi diketahui bahwa penyerang melakukannya saat berada dalam obrolan grup dengan orang lain, dan beberapa orang menerima sebagian data yang dicuri
  • Basis data tersebut kemungkinan diperdagangkan di komunitas data hasil pelanggaran, dan di masa mendatang dapat bocor secara gratis di forum peretasan seperti Breached

1 komentar

 
GN⁺ 2024-10-21
Opini Hacker News
  • Sangat menyedihkan melihat pelaku ancaman menyerang layanan altruistis seperti Internet Archive. Tindakan regresif seperti ini melemahkan semangat

    • Bukan bermaksud membela penyerang, dan saya memandang IA sebagai barang publik. Namun salah satu pesan dalam kasus ini juga bisa dibaca seolah ingin memberi tahu masalah yang terlewat oleh IA
      “Entah Anda ingin mengajukan pertanyaan umum, atau meminta penghapusan situs dari Wayback Machine, data Anda sekarang berada di tangan orang acak. Kalau bukan saya, pasti orang lain.”
      Jadi ini membuat saya berpikir apakah ada benarnya bahwa pekerjaan sepenting ini tidak boleh menjadi tanggung jawab satu organisasi saja
    • Karena banyak orang begitu tenggelam dalam doktrin hak milik imajiner, dan banyak pula yang penghidupannya bergantung pada itu, ini tidak terlalu mengejutkan
    • Dilihat dari sisi lain, mungkin kita harus bersyukur bahwa mereka termasuk tipe yang setelah membobol IA, mengumumkannya secara terbuka dan menuntut sistemnya diperbaiki. Penyerang lain bisa saja langsung menghancurkannya, diam-diam mengubah konten, atau melakukan hal lain yang lebih buruk yang bisa dibayangkan
      Dalam arti mengungkap fakta bahwa organisasi besar yang menangani banyak informasi identitas pribadi sama sekali tidak peduli pada keamanan, mereka bisa dibilang menjalankan peran demi kepentingan publik
    • Apa pun yang memiliki trafik tinggi akan menjadi target. Jangkauan potensial lebih penting daripada apa yang dilakukan organisasi itu
      Tindak kriminal tetaplah tindak kriminal. Tempat yang menarik banyak pengunjung harus memiliki keamanan yang layak agar pelanggannya tidak menjadi korban
    • Sepertinya penyerang hanya mengejar reputasi jalanan, dan pembobolan kedua tampak seperti sinyal pengingat bahwa IA belum memperbaikinya dengan benar setelah pembobolan pertama
      Ini bisa saja lebih buruk
  • Bagi orang yang memiliki pengetahuan keamanan informasi yang kuat, ini adalah kesempatan bagus untuk menawarkan keahlian secara sukarela demi tujuan baik

    • Saat ini mungkin sudah ada begitu banyak tawaran seperti itu sampai tenggelam
    • Pada titik ini, mereka seharusnya mempertimbangkan penulisan ulang dari awal. Sepertinya mereka menjalankan stack teknologi sekitar tahun 1992
  • Library of Congress seharusnya melestarikan internet, dan juga harus memiliki anggaran untuk itu
    Ini juga sesuai dengan misi “Library of Congress”. Memiliki catatan akurat tentang apa yang ada di internet pada suatu waktu tertentu akan membantu saat membahas legislasi atau regulasi terkait internet

  • Kita membutuhkan arsip berbasis penyimpanan terdistribusi. Saya menyukai dan mendukung pekerjaan Internet Archive, tetapi melestarikan sejarah terlalu penting untuk hanya diserahkan kepada satu organisasi, yaitu satu titik kegagalan tunggal

    • Setiap kali tulisan seperti ini muncul, hal ini pasti dibahas setidaknya sekali di komentar
      IA juga pernah mencoba mendistribusikan penyimpanan, tetapi tidak cukup banyak orang yang benar-benar menyediakan ruang penyimpanannya sendiri seperti yang dikatakan
    • Ada pendekatan “banyak salinan membuat materi tetap aman”
      https://www.lockss.org/
      Ini sistem bagus yang bergantung pada protokol konsensus acak. Saya ingin menjadikannya topik makalah keamanan informasi, tetapi model keamanannya dirancang begitu baik sehingga tidak ada yang bisa saya tambahkan
    • Untuk membuat web ramah terhadap arsip terdistribusi, menurut saya target harus dirujuk dengan hash, bukan path yang secara implisit dijanjikan oleh suatu server akan disajikan secara konsisten, tetapi kenyataannya menampilkan data berbeda pada waktu berbeda karena berbagai alasan
      Jika data yang berbeda selalu mendapat referensi berbeda, mudah untuk mengetahui apakah cadangan sudah mencukupi. Jika nama yang sama menunjuk ke tumpukan snapshot yang diambil dalam kondisi berbeda, sulit memastikan apa sebenarnya yang ingin kita cadangkan untuk nama itu
    • LibGen dan Sci-Hub patut dicontoh dalam hal ini. Mereka menggunakan teknologi yang sesuai dengan tujuan. Torrent + IPFS + mirror HTTP sederhana ditempatkan di berbagai tempat
      Datanya memang besar, tetapi tidak sebesar Archive.org: https://libgen.is/repository_torrent/. Meski begitu, tetap diperlukan dana untuk node terdistribusi seperti ini, dan tujuan utamanya tampaknya adalah ketahanan
    • Saya pernah merancang sistem di mana jika seseorang berkata “saya akan menyumbangkan ruang kosong disk 2TB saya ke Internet Archive”, IA akan mengirimkan data 2TB ke sana. Sistem ini juga memiliki sifat dapat direkonstruksi meskipun IA atau penyedia lain menghilang
      Namun ketika saya menanyakan kepada beberapa tim arsip, termasuk IA, apakah mereka berminat menggunakannya, saya tidak mendapat jawaban atau hanya mendapat jawaban negatif
  • Ada yang tahu siapa yang menargetkan Internet Archive, dan kenapa? Serangannya terasa terlalu canggih untuk dianggap sekadar perusak iseng

    • Kelihatannya seperti orang yang kencing di wadah garam. Internet Archive jelas bertahan dengan lakban dan tekad pribadi. Tentu saja lakbannya kuat dan tahan lama
      Lagi pula, misi utamanya adalah menyebarkan data, bukan menyembunyikan data demi mencari untung
      Teks asli kebijaksanaan kuno bagi yang tidak tahu analogi wadah garam:
      https://web.archive.org/web/20060619131835/http://xelios.liv...
      Pilih saja terjemahan mana pun:
      https://malaya-zemlya.livejournal.com/697779.html
      https://personal-view.com/talks/discussion/25915/humor-hacke...
      https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
    • Aku tidak tahu kenapa kamu merasa begitu. Dari pesan penyerangnya, semuanya terlihat seperti perusak iseng, dan aku juga tidak melihat tanda bahwa sistem IA tampak seperti Fort Knox
      Sejak awal mereka mungkin menganggap hampir tidak ada alasan orang menargetkan mereka, jadi tidak mengejutkan kalau keamanan mereka cukup longgar
    • Kelompok yang mengklaim peretasan pertama disebut berbasis di Rusia, anti-AS, dan pro-Palestina, dan mereka mengatakan alasan serangannya adalah pelanggaran hak cipta oleh IA
      Silakan masing-masing menarik kesimpulan yang lebih berdasar, tapi buatku ini sangat berbau lembaga pemerintah
    • Melihat banyaknya komentar yang menuntut pergantian kepemimpinan, kalau memakai teori topi aluminium, ini bisa terlihat seperti upaya terorganisasi untuk mendorong pergantian kepemimpinan
    • Mungkin juga para hacker white-hat sudah memberi tahu IA soal masalah keamanan tapi diabaikan, lalu meretasnya dengan cara yang tampaknya tidak merusak besar-besaran untuk memaksa adanya tindakan
  • Aku tidak tahu seperti apa model pendanaannya, tapi kalau ada uang tunai, menurutku investasi prioritas tertinggi seharusnya merekrut tim keamanan

    • Setidaknya saat ini, model pendanaan IA mungkin lebih mirip berkeringat dingin sambil menunggu putusan hukum besar
  • Perusak macam apa yang menyerang perpustakaan? Pelakunya benar-benar harus ditemukan

    • Serangan internet seperti ini selalu terjadi pada anak-anak yang menjalankan server Minecraft, usaha kecil, programmer amatir, dan sebagainya. Menemukan pelakunya sering kali sulit atau mustahil, dan lembaga seperti FBI biasanya memakai sumber dayanya untuk kasus yang lebih besar, misalnya kejahatan siber yang berfokus pada perdagangan narkoba atau pemerasan
      Kenyataan sedihnya, banyak orang diserang secara tidak adil di internet, dan karena kurangnya fokus investigasi serta sumber daya, banyak di antaranya tidak dihukum
    • Siapa yang diuntungkan dari serangan ini? Siapa yang menekan IA agar menghapus buku?
  • Aku membayangkan dunia ketika setiap kali snapshot Wayback Machine membantu dalam gugatan, para pengacara mengirim beberapa dolar ke IA. Dengan begitu, mereka akan segera mampu membiayai tim admin kelas dunia

    • Itu solusi yang buruk sekali. Wayback Machine akan menurunkan snapshot jika ada permintaan dari orang yang mengendalikan domain. Itu bukan arsip
      Jika keadaan halaman web di masa lalu itu penting, kita butuh catatan yang tidak hilang hanya karena pihak lawan memintanya. perma.cc adalah konsep seperti itu
  • Hampir setahun lalu aku mengirim CV, tapi sampai kemarin tidak ada jawaban. Sepertinya sekarang mereka sedang mengaduk-aduk lamaran yang menumpuk untuk mencari tenaga bantuan

  • Untuk semua orang yang merasa kita membutuhkan alternatif yang lebih baik daripada IA, atau percaya ada solusi lain, atau berpendapat organisasi lain seharusnya mengoperasikannya: tidak ada yang mencegah munculnya alternatif pesaing
    Berkat pekerjaan yang sudah dilakukan dan dibagikan IA, titik awalnya juga sudah lebih maju, jadi silakan coba sendiri