Internet Archive kembali diretas melalui token akses yang dicuri
(bleepingcomputer.com)- Internet Archive kembali diretas, kali ini sampai ke sistem dukungan email Zendesk, karena masalah token autentikasi yang terekspos masih tersisa bahkan setelah insiden kebocoran data dan DDoS sebelumnya
- Penyerang mengklaim telah memperoleh token Zendesk yang dapat mengakses lebih dari 800 ribu tiket dukungan yang masuk ke info@archive.org sejak 2018, dan email yang dikirim lolos pemeriksaan DKIM, DMARC, dan SPF
- Pelanggaran awal bermula dari token yang terekspos dalam file konfigurasi GitLab di server pengembangan, dan token tersebut dipastikan telah terekspos setidaknya sejak Desember 2022
- Kode sumber yang dicuri berisi kredensial sistem manajemen basis data dan token tambahan, sehingga ada kemungkinan akses juga mencakup basis data pengguna dan izin untuk memodifikasi situs
- Serangan ini tampaknya lebih bertujuan mendapatkan cyber street cred daripada bermotif politik atau finansial, dan masih ada risiko data yang dicuri beredar di komunitas data hasil pelanggaran atau forum peretasan
Pelanggaran yang berlanjut hingga sistem dukungan Zendesk
- Kali ini Internet Archive kembali diretas melalui platform dukungan email Zendesk
- Beberapa pengguna yang sebelumnya mengirim permintaan penghapusan ke Internet Archive menerima balasan, dan pesan tersebut memperingatkan bahwa organisasi itu tidak mengganti token autentikasi yang dicuri dengan benar
- Email penyerang menyebutkan bahwa meski Internet Archive telah menyadari pelanggaran beberapa minggu sebelumnya, mereka tidak merotasi sejumlah API key yang terekspos di GitLab secrets
- Penyerang menyatakan token Zendesk tersebut memiliki hak akses ke lebih dari 800 ribu tiket dukungan yang dikirim ke info@archive.org sejak 2018
- Header email tersebut lolos seluruh pemeriksaan autentikasi DKIM, DMARC, dan SPF, dan dipastikan dikirim dari server Zendesk resmi di 192.161.151.10
Kemungkinan tereksposnya lampiran tiket dukungan
- Sebagian pengguna harus mengunggah identitas pribadi saat meminta penghapusan halaman dari Wayback Machine
- Jika penyerang mengunduh tiket dukungan melalui akses API Zendesk, mereka juga mungkin dapat mengakses lampiran tersebut
- Zendesk memiliki API untuk melihat lampiran tiket, dan cakupan eksposur sebenarnya bergantung pada hak API yang dimiliki penyerang serta apakah akses itu digunakan
Eksposur token GitLab dan serangan sebelumnya
- Pada 9 Oktober, Internet Archive mengalami dua serangan dalam periode yang sama
- Pelanggaran data yang mencuri data 33 juta pengguna situs
- Serangan DDoS oleh kelompok yang mengaku pro-Palestina bernama SN_BlackMeta
- Kedua serangan terjadi dalam periode yang sama, tetapi dilakukan oleh penyerang yang berbeda
- Beberapa media keliru melaporkan SN_BlackMeta sebagai pihak di balik pelanggaran data, tetapi pelaku pelanggaran data yang sebenarnya secara terpisah menghubungi BleepingComputer dan menjelaskan metode serangannya
- Pelanggaran awal bermula dari file konfigurasi GitLab yang terekspos di server pengembangan Internet Archive, services-hls.dev.archive.org
- Token GitLab tersebut telah terekspos setidaknya sejak Desember 2022, dan kemudian dipastikan telah dirotasi beberapa kali
Akses tambahan yang berlanjut dari kode sumber
- Penyerang menyatakan bahwa token autentikasi dalam file konfigurasi GitLab memungkinkan pengunduhan kode sumber Internet Archive
- Penyerang mengklaim menemukan kredensial dan token autentikasi tambahan di dalam kode sumber
- Ini termasuk kredensial sistem manajemen basis data Internet Archive, yang menurut mereka memungkinkan akses berikut
- Mengunduh basis data pengguna organisasi
- Mengunduh kode sumber tambahan
- Memodifikasi situs
- Penyerang mengklaim telah mencuri 7 TB data dari Internet Archive, tetapi tidak membagikan sampel bukti
- Belakangan terungkap bahwa data yang dicuri juga mencakup token akses API untuk sistem dukungan Zendesk Internet Archive
Celah respons yang tetap ada meski sudah berulang kali diperingatkan
- BleepingComputer beberapa kali menghubungi Internet Archive dan menawarkan untuk membagikan cara terjadinya pelanggaran serta motifnya
- Kontak terbaru dilakukan pada hari Jumat, tetapi tidak mendapat respons
- Pelanggaran Zendesk kali ini terkait dengan klaim penyerang bahwa token terkait tidak cukup diganti setelah eksposur token autentikasi GitLab
Motif serangan dan risiko peredaran data
- Setelah pelanggaran Internet Archive, muncul teori konspirasi bahwa Israel, pemerintah AS, atau perusahaan yang sedang bersengketa hak cipta berada di baliknya
- Pelanggaran ini tampaknya lebih terjadi karena penyerang mampu melakukannya, bukan karena alasan politik atau finansial
- Di komunitas perdagangan data curian, terdapat motif berikut
- Memeras korban untuk mendapatkan uang
- Menjual data kepada penyerang lain
- Mengumpulkan data hasil pelanggaran
- Mendapatkan cyber street cred melalui kebocoran publik
- Karena Internet Archive adalah situs web yang sangat dikenal dan sangat populer, insiden ini membantu meningkatkan reputasi penyerang
- Belum ada pihak yang secara terbuka mengklaim pelanggaran ini, tetapi diketahui bahwa penyerang melakukannya saat berada dalam obrolan grup dengan orang lain, dan beberapa orang menerima sebagian data yang dicuri
- Basis data tersebut kemungkinan diperdagangkan di komunitas data hasil pelanggaran, dan di masa mendatang dapat bocor secara gratis di forum peretasan seperti Breached
1 komentar
Opini Hacker News
Sangat menyedihkan melihat pelaku ancaman menyerang layanan altruistis seperti Internet Archive. Tindakan regresif seperti ini melemahkan semangat
“Entah Anda ingin mengajukan pertanyaan umum, atau meminta penghapusan situs dari Wayback Machine, data Anda sekarang berada di tangan orang acak. Kalau bukan saya, pasti orang lain.”
Jadi ini membuat saya berpikir apakah ada benarnya bahwa pekerjaan sepenting ini tidak boleh menjadi tanggung jawab satu organisasi saja
Dalam arti mengungkap fakta bahwa organisasi besar yang menangani banyak informasi identitas pribadi sama sekali tidak peduli pada keamanan, mereka bisa dibilang menjalankan peran demi kepentingan publik
Tindak kriminal tetaplah tindak kriminal. Tempat yang menarik banyak pengunjung harus memiliki keamanan yang layak agar pelanggannya tidak menjadi korban
Ini bisa saja lebih buruk
Bagi orang yang memiliki pengetahuan keamanan informasi yang kuat, ini adalah kesempatan bagus untuk menawarkan keahlian secara sukarela demi tujuan baik
Library of Congress seharusnya melestarikan internet, dan juga harus memiliki anggaran untuk itu
Ini juga sesuai dengan misi “Library of Congress”. Memiliki catatan akurat tentang apa yang ada di internet pada suatu waktu tertentu akan membantu saat membahas legislasi atau regulasi terkait internet
Menurut Wikipedia[2], ini berbasis Heritrix dan Wayback, dan keduanya dikembangkan oleh Internet Archive. Artikel blog itu juga menyebut “Wayback software”. Arsip yang saat ini dilestarikan bisa dilihat di sini: http://webarchive.loc.gov/
[0] https://www.loc.gov/programs/web-archiving/about-this-progra...
[1] https://blogs.loc.gov/thesignal/2023/08/the-web-archiving-te...
[2] https://en.m.wikipedia.org/wiki/List_of_Web_archiving_initia...
Kita membutuhkan arsip berbasis penyimpanan terdistribusi. Saya menyukai dan mendukung pekerjaan Internet Archive, tetapi melestarikan sejarah terlalu penting untuk hanya diserahkan kepada satu organisasi, yaitu satu titik kegagalan tunggal
IA juga pernah mencoba mendistribusikan penyimpanan, tetapi tidak cukup banyak orang yang benar-benar menyediakan ruang penyimpanannya sendiri seperti yang dikatakan
https://www.lockss.org/
Ini sistem bagus yang bergantung pada protokol konsensus acak. Saya ingin menjadikannya topik makalah keamanan informasi, tetapi model keamanannya dirancang begitu baik sehingga tidak ada yang bisa saya tambahkan
Jika data yang berbeda selalu mendapat referensi berbeda, mudah untuk mengetahui apakah cadangan sudah mencukupi. Jika nama yang sama menunjuk ke tumpukan snapshot yang diambil dalam kondisi berbeda, sulit memastikan apa sebenarnya yang ingin kita cadangkan untuk nama itu
Datanya memang besar, tetapi tidak sebesar Archive.org: https://libgen.is/repository_torrent/. Meski begitu, tetap diperlukan dana untuk node terdistribusi seperti ini, dan tujuan utamanya tampaknya adalah ketahanan
Namun ketika saya menanyakan kepada beberapa tim arsip, termasuk IA, apakah mereka berminat menggunakannya, saya tidak mendapat jawaban atau hanya mendapat jawaban negatif
Ada yang tahu siapa yang menargetkan Internet Archive, dan kenapa? Serangannya terasa terlalu canggih untuk dianggap sekadar perusak iseng
Lagi pula, misi utamanya adalah menyebarkan data, bukan menyembunyikan data demi mencari untung
Teks asli kebijaksanaan kuno bagi yang tidak tahu analogi wadah garam:
https://web.archive.org/web/20060619131835/http://xelios.liv...
Pilih saja terjemahan mana pun:
https://malaya-zemlya.livejournal.com/697779.html
https://personal-view.com/talks/discussion/25915/humor-hacke...
https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
Sejak awal mereka mungkin menganggap hampir tidak ada alasan orang menargetkan mereka, jadi tidak mengejutkan kalau keamanan mereka cukup longgar
Silakan masing-masing menarik kesimpulan yang lebih berdasar, tapi buatku ini sangat berbau lembaga pemerintah
Aku tidak tahu seperti apa model pendanaannya, tapi kalau ada uang tunai, menurutku investasi prioritas tertinggi seharusnya merekrut tim keamanan
Perusak macam apa yang menyerang perpustakaan? Pelakunya benar-benar harus ditemukan
Kenyataan sedihnya, banyak orang diserang secara tidak adil di internet, dan karena kurangnya fokus investigasi serta sumber daya, banyak di antaranya tidak dihukum
Aku membayangkan dunia ketika setiap kali snapshot Wayback Machine membantu dalam gugatan, para pengacara mengirim beberapa dolar ke IA. Dengan begitu, mereka akan segera mampu membiayai tim admin kelas dunia
Jika keadaan halaman web di masa lalu itu penting, kita butuh catatan yang tidak hilang hanya karena pihak lawan memintanya. perma.cc adalah konsep seperti itu
Hampir setahun lalu aku mengirim CV, tapi sampai kemarin tidak ada jawaban. Sepertinya sekarang mereka sedang mengaduk-aduk lamaran yang menumpuk untuk mencari tenaga bantuan
Untuk semua orang yang merasa kita membutuhkan alternatif yang lebih baik daripada IA, atau percaya ada solusi lain, atau berpendapat organisasi lain seharusnya mengoperasikannya: tidak ada yang mencegah munculnya alternatif pesaing
Berkat pekerjaan yang sudah dilakukan dan dibagikan IA, titik awalnya juga sudah lebih maju, jadi silakan coba sendiri