İnternet arşivi tekrar ihlal edildi, bu sefer tehdit aktörlerinin maruz kalan Gitlab kimlik doğrulama jetonlarını çaldığı tekrarlanan uyarılardan sonra Zendesk e -posta destek platformunda.
Dün geceden bu yana, BleepingComputer, eski İnternet arşivi kaldırma isteklerine yanıt alan kişilerden çok sayıda mesaj aldı ve kuruluşun çalınan kimlik doğrulama jetonlarını doğru bir şekilde döndürmedikleri için ihlal edildiğini uyardı.
Tehdit oyuncusundan bir e -posta, "Haftalar önce ihlalden haberdar edildikten sonra bile, IA'nın Gitlab sırlarında maruz kalan API anahtarlarının çoğunu döndürmenin özen göstermediğini görmekten hoşlanıyor."
"Bu mesajla gösterildiği gibi, 2018'den beri info@archive.org adresine gönderilen 800K+ destek biletlerine erişmek için Perms ile bir Zendesk jetonu içerir."
"İster genel bir soru sormaya çalışıyor olun, ister sitenizin Wayback makinesinden kaldırılmasını isteyin, verileriniz şimdi rastgele bir adamın elinde. Ben olmasaydı, başka biri olurdu."
Bu e -postalardaki e -posta başlıkları, 192.161.151.10 numaralı telefondan yetkili bir Zendesk sunucusu tarafından gönderildiklerini kanıtlayarak tüm DKIM, DMARC ve SPF kimlik doğrulama kontrollerini geçer.
Bu hikayeyi yayınladıktan sonra, BleepingComputer'a bu e -postaların bir alıcısı tarafından Wayback makinesinden bir sayfanın kaldırılmasını isterken kişisel kimlik yüklemeleri gerektiği söylendi.
Tehdit oyuncusu artık Zendesk'e ve destek biletlerini indirmek için kullandılarsa, API erişimine bağlı olarak bu eklere erişebilir.
Bu e -postalar, BleepingComputer'ın internet arşivini, kaynak kodlarının neredeyse iki yıl boyunca çevrimiçi olarak maruz bırakılan bir GitLab kimlik doğrulama jetonu ile çalındığını tekrar tekrar uyardıktan sonra gelir.
9 Ekim'de BleepingComputer, internet arşivinin geçen hafta aynı anda iki farklı saldırı tarafından vurulduğunu bildirdi-sitenin 33 milyon kullanıcı için kullanıcı verilerinin çalındığı ve SN_Blackmeta adlı iddia edilen bir Pilistinli grup tarafından DDoS saldırısı.
Her iki saldırı da aynı dönemde meydana gelirken, farklı tehdit aktörleri tarafından gerçekleştirildi. Bununla birlikte, birçok çıkış yanlış bir şekilde SN_Blackmeta'nın sadece DDOS saldırılarından ziyade ihlalin arkasında olduğunu bildirdi.
Bu yanlış bildirim, saldırı için kredi talep etmek ve İnternet arşivini nasıl ihlal ettiklerini açıklamak için bir aracı aracılığıyla BleepingComputer ile temasa geçen gerçek veri ihlalinin arkasındaki tehdit aktörünü hayal kırıklığına uğrattı.
Tehdit oyuncusu, BleepingComputer'a, internet arşivinin ilk ihlalinin, kuruluşun geliştirme sunucularından biri olan Services-hls.dev.archive.org'da açık bir GITLAB yapılandırma dosyası bulmaya başladığını söyledi.
BleepingComputer, en azından Aralık 2022'den bu yana bu jetonun maruz kaldığını ve o zamandan beri birden çok kez döndüğünü doğruladı.
Tehdit oyuncusu, bu GITLAB yapılandırma dosyasının İnternet Arşivi Kaynak Kodunu indirmelerine izin veren bir kimlik doğrulama jetonu içerdiğini söylüyor.
Hacker, bu kaynak kodunun İnternet Arşivi veritabanı yönetim sistemine yönelik kimlik bilgileri de dahil olmak üzere ek kimlik bilgileri ve kimlik doğrulama jetonları içerdiğini söylüyor. Bu, tehdit oyuncusunun kuruluşun kullanıcı veritabanını indirmesine, daha fazla kaynak kodunu ve siteyi değiştirmesine izin verdi.
Tehdit oyuncusu, İnternet arşivinden 7 TB veri çaldığını iddia etti, ancak herhangi bir örneği kanıt olarak paylaşmayacağını iddia etti.
Ancak, şimdi çalınan verilerin Internet Arşivi'nin Zendesk destek sistemi için API Erişim belirteçlerini de içerdiğini biliyoruz.
BleepingComputer, Cuma günü olduğu gibi, ihlalin nasıl gerçekleştiği ve neden yapıldığı hakkında bildiklerimizi paylaşmayı teklif eden İnternet Arşivi ile birçok kez iletişime geçmeye çalıştı, ancak asla bir yanıt almadık.
İnternet arşivi ihlal edildikten sonra, komplo teorileri neden saldırıya uğradıkları konusunda bolca vardı.
Bazıları İsrail'in bunu, Birleşik Devletler Hükümeti veya şirketlerin telif hakkı ihlali nedeniyle İnternet Arşivi ile devam eden savaşlarında yaptığını söyledi.
Bununla birlikte, İnternet arşivi siyasi veya parasal nedenlerle değil, sadece tehdit oyuncusu yapabileceği için ihlal edildi.
Kurbanı zorlayarak, diğer tehdit aktörlerine satarak veya sadece veri ihlallerinin koleksiyoncuları oldukları için, çalınan verilerde trafiğe sahip olan büyük bir topluluk var.
Bu veriler genellikle siber sokak kredisi kazanmak için ücretsiz olarak yayınlanır ve hepsi en önemli ve en yayınlanan saldırılara sahip olanlar için rekabet ettikleri için bu topluluktaki diğer tehdit aktörleri arasındaki itibarını artırır.
İnternet arşivi durumunda, organizasyonu zorlamaya çalışarak para alınacak para yoktu. Bununla birlikte, iyi bilinen ve son derece popüler bir web sitesi olarak, bir kişinin bu topluluk arasındaki itibarını kesinlikle artırdı.
Kimse bu ihlali kamuya açık bir şekilde iddia etmese de, BleepingComputer'ın tehdit oyuncusu başkalarıyla bir grup sohbetindeyken yapıldığı söylendi ve birçoğu çalınan verilerin bir kısmını aldı.
Bu veritabanı artık veri ihlali topluluğundaki diğer insanlar arasında işlem görüyor ve muhtemelen gelecekte ihlal edilen gibi hack forumlarında ücretsiz sızdırıldığını göreceğiz.
Güncelleme 10/20/24: İnternet arşivinden kaldırma isterken bazı kişilerin kişisel kimlikler yüklemesi gerektiği hakkında bilgi eklendi.
İnternet arşivi hacklendi, veri ihlali 31 milyon kullanıcıyı etkiler
Hacker çalınan verileri yayınladıktan sonra Cisco Devhub portalını çevrimdışı alıyor
Teknoloji devi NIDEC, fidye yazılımı saldırısından sonra veri ihlalini teyit ediyor
Bianlian Fidye Yazılımı Boston Çocuk Sağlığı Hekimlerine Saldırı Talepleri
Hackerlar Müşteri verilerini çaldıktan sonra Globe Life
Kaynak: Bleeping Computer