No solo las grandes empresas tecnológicas o los gigantes de internet son el blanco de los ciberataques. Incluso plataformas como el Internet Archive, que muchos usan para explorar versiones antiguas de sitios web y acceder a contenido histórico, están en la mira de los hackers.
Recientemente, el Internet Archive ha sido nuevamente víctima de una brecha de seguridad, esta vez a través de su plataforma de soporte por correo electrónico, Zendesk. Todo ocurrió después de varias advertencias sobre tokens de autenticación robados, que habían quedado expuestos en su repositorio de GitLab.
Desde hace días, varias personas han informado haber recibido respuestas a solicitudes antiguas de eliminación de contenido del Internet Archive. Estos mensajes advertían que la organización fue comprometida porque no se tomaron las medidas necesarias para rotar los tokens de autenticación robados.
"Es frustrante ver que, a pesar de haber sido informados sobre la violación hace semanas, el Internet Archive aún no ha rotado muchas de las claves API expuestas en su GitLab", escribieron los atacantes en uno de los correos.
"Este mensaje muestra que uno de los tokens de Zendesk expuestos da acceso a más de 800,000 tickets de soporte enviados a info@archive.org desde 2018".
"Ya sea que solo estuvieras haciendo una pregunta o solicitando la eliminación de tu sitio de la Wayback Machine, tus datos ahora podrían estar en manos de cualquier persona. Si no soy yo, será alguien más."
Correos de Internet Archive Zendesk enviados por el actor de amenazas
Los encabezados de estos correos electrónicos pasan todas las verificaciones de autenticación DKIM, DMARC y SPF, lo que confirma que fueron enviados desde un servidor autorizado de Zendesk (192.161.151.10).
Tras conocerse la situación, uno de los destinatarios de estos correos mencionó que, al solicitar la eliminación de una página de Wayback Machine, tuvo que subir una identificación personal.
Esto es preocupante, ya que el atacante podría tener acceso a estos archivos adjuntos si pudo usar la API de Zendesk para descargar los tickets de soporte. Estos correos llegan después de múltiples intentos de advertir al Internet Archive sobre el robo de su código fuente, expuesto durante casi dos años a través de un token de autenticación de GitLab.
Podría interesarte leer: Hackean Internet Archive y Vulneran Datos de 31 Millones de Usuarios
El 9 de octubre, se informó que el Internet Archive enfrentó dos ataques diferentes la semana pasada: una violación de datos en la que se robaron datos de 31 millones de usuarios y un ataque DDoS por parte de un grupo pro-palestino llamado SN_BlackMeta.
Aunque ambos ataques ocurrieron casi al mismo tiempo, fueron llevados a cabo por diferentes grupos. Sin embargo, muchos medios confundieron la situación y atribuyeron incorrectamente la violación de datos a SN_BlackMeta, cuando en realidad solo estuvieron detrás del ataque DDoS.
Esta confusión molestó al atacante real detrás de la violación de datos, quien decidió contactar a través de un intermediario para reclamar el crédito y explicar cómo lograron comprometer al Internet Archive.
El atacante explicó que todo comenzó cuando encontraron un archivo de configuración de GitLab expuesto en uno de los servidores de desarrollo de la organización (services-hls.dev.archive.org). Este token, que ha estado expuesto desde al menos diciembre de 2022, fue rotado varias veces desde entonces, aunque no de manera suficientemente segura.
Token de autenticación de GitLab de Internet Archive expuesto
Podría interesarte leer: Resumen de Noticias de Ciberseguridad hasta el 14 de Octubre de 2024
El atacante explicó que encontraron un archivo de configuración de GitLab que contenía un token de autenticación, lo que les permitió acceder y descargar el código fuente de Internet Archive.
Según el hacker, dentro de ese código también encontraron credenciales adicionales y más tokens de autenticación, incluyendo los del sistema de gestión de bases de datos de la organización. Esto les permitió descargar la base de datos de usuarios, obtener más código fuente e incluso modificar el sitio.
El atacante afirmó haber robado 7 TB de datos del Internet Archive, aunque no ofreció pruebas para respaldar esa cifra. Lo que sí se ha confirmado es que los datos robados incluían tokens de acceso a la API del sistema de soporte Zendesk del Internet Archive. Es bastante probable que esta base de datos ya esté circulando entre otras personas en la comunidad de cibercriminales. No sería sorprendente que en algún momento termine filtrada de forma gratuita en foros de piratería como Breached u otros espacios similares.