O Internet Archive foi alvo de mais uma violação de segurança, desta vez afetando sua plataforma de suporte por e-mail Zendesk. A vulnerabilidade foi explorada através de tokens de autenticação que foram expostos no GitLab, permitindo que agentes mal-intencionados acessassem dados sensíveis.
Diversos usuários relataram ter recebido notificações de e-mails relacionados a pedidos antigos, informando que os tokens não foram adequadamente substituídos após a primeira violação. Um e-mail enviado pelo agente da ameaça lamenta a falha na rotação das chaves de API, que ficaram expostas por semanas após a identificação da vulnerabilidade.
Violação de segurança no Zendesk
O principal problema envolveu o uso de um token com permissões amplas dentro do sistema Zendesk, que gerencia mais de 800 mil tickets de suporte desde 2018. Isso inclui solicitações de remoção de conteúdo da Wayback Machine, enviadas para o e-mail info@archive.org.
O invasor comentou que as informações agora estão acessíveis a terceiros: “Se não fosse eu, seria outro hacker”, afirmou em uma das mensagens.
Dados de autenticação comprometidos
Cabeçalhos dos e-mails fraudulentos foram verificados, demonstrando que passaram por todas as autenticações de segurança, como DKIM, DMARC e SPF. Assim, comprovou-se que esses e-mails foram enviados de um servidor Zendesk autorizado.
Além dos e-mails, o invasor pode ter acesso a informações pessoais e anexos enviados pelos usuários ao solicitar a remoção de páginas do Internet Archive. Isso depende do nível de permissão do token da API que foi utilizado.
Essa nova onda de e-mails ocorreu após o BleepingComputer tentar várias vezes alertar o Internet Archive sobre a exposição de um token de autenticação GitLab, que estava disponível publicamente por quase dois anos.
Notícias Relacionadas
Exposições anteriores e ações recentes
Em 9 de outubro, o BleepingComputer relatou dois incidentes distintos: uma violação de dados que comprometeu 33 milhões de usuários e um ataque DDoS realizado por um grupo pró-Palestina chamado SN_BlackMeta. No entanto, os dois eventos foram ações de diferentes atores, embora alguns veículos de mídia tenham atribuído erroneamente ambos ao mesmo grupo.
A falha inicial ocorreu devido a um arquivo de configuração exposto no GitLab, permitindo que o invasor acessasse códigos-fonte e credenciais do Internet Archive. Com essas credenciais, o invasor teve acesso ao banco de dados de usuários, além de modificar partes do site.
O agente da ameaça alega ter roubado 7 TB de dados, mas não forneceu provas desse volume. Ainda assim, é certo que as informações expostas incluem tokens de acesso à API do Zendesk, ampliando o escopo da violação.
Reputação e credibilidade no submundo digital
Embora não haja provas de que a violação tenha motivações políticas ou financeiras, o ataque ao Internet Archive aumentou a credibilidade do invasor no submundo hacker. Muitos desses agentes buscam notoriedade em fóruns e grupos, competindo para realizar os ataques mais impactantes.
Esse tipo de dado, muitas vezes, acaba sendo compartilhado gratuitamente entre comunidades hackers, onde a troca de informações violadas pode ser feita sem que haja pedidos de resgate ou extorsão monetária.
A previsão é de que o banco de dados roubado apareça em breve em fóruns de hackers como o Breached, seja para venda ou distribuição gratuita.
