Internet Archive, Çalınan erişim token’larıyla yeniden ihlal edildi
(bleepingcomputer.com)- Internet Archive, önceki veri ihlali ve DDoS saldırısının ardından açığa çıkan kimlik doğrulama token’ları sorununu çözemedi ve bu kez Zendesk e-posta destek sistemi de ihlal edildi
- Saldırgan, 2018’den bu yana info@archive.org adresine gönderilen 800 binden fazla destek kaydına erişebilen bir Zendesk token’ı ele geçirdiğini söyledi; gönderilen e-postalar DKIM, DMARC ve SPF kontrollerini geçti
- İlk ihlal, geliştirme sunucusundaki GitLab yapılandırma dosyasında açığa çıkan bir token’dan başladı; bu token’ın en az Aralık 2022’den beri görünür olduğu doğrulandı
- Çalınan kaynak kodda veritabanı yönetim sistemi kimlik bilgileri ve ek token’lar yer aldığı için, kullanıcı veritabanına ve siteyi değiştirme yetkisine kadar erişilmiş olabileceği düşünülüyor
- Saldırının siyasi ya da maddi kazançtan çok cyber street cred elde etmeye yakın göründüğü, ayrıca çalınan verilerin ihlal verisi toplulukları veya hack forumlarında dolaşıma girme riskinin sürdüğü belirtiliyor
Zendesk destek sistemine kadar uzanan ihlal
- Internet Archive bu kez Zendesk e-posta destek platformu üzerinden yeniden ihlal edildi
- Geçmişte Internet Archive’a kaldırma talebi göndermiş birçok kullanıcı bir yanıt aldı ve mesaj, kuruluşun çalınan kimlik doğrulama token’larını düzgün şekilde değiştirmediği uyarısını içeriyordu
- Saldırganın e-postasında, Internet Archive’ın birkaç hafta önce ihlali fark etmesine rağmen GitLab secrets içinde açığa çıkmış çeşitli API anahtarlarını döndürmediği belirtiliyordu
- Saldırgan, Zendesk token’ının 2018’den bu yana info@archive.org adresine gönderilen 800 binden fazla destek kaydına erişim verdiğini söyledi
- İlgili e-posta başlıkları DKIM, DMARC, SPF doğrulama kontrollerinin tamamını geçti ve mesajın 192.161.151.10 adresindeki yetkili bir Zendesk sunucusundan gönderildiği doğrulandı
Destek kaydı eklerinin açığa çıkmış olma ihtimali
- Bazı kullanıcılar Wayback Machine’de bir sayfanın kaldırılmasını isterken kişisel kimlik belgelerini yüklemek zorunda kalmıştı
- Saldırgan Zendesk API erişimiyle destek kayıtlarını indirdiyse, bu ek dosyalara da erişmiş olabilir
- Zendesk’te destek kaydı eklerini görüntülemeye yönelik bir API bulunuyor; gerçek sızıntı kapsamı ise saldırganın sahip olduğu API yetkilerine ve bunları kullanıp kullanmadığına bağlı
GitLab token sızıntısı ve önceki saldırılar
- 9 Ekim’de Internet Archive aynı dönemde iki farklı saldırıya maruz kaldı
- Sitedeki 33 milyon kullanıcının verilerinin çalındığı veri ihlali
- Kendini Filistin yanlısı olarak tanımlayan SN_BlackMeta grubunun DDoS saldırısı
- Bu iki saldırı aynı dönemde gerçekleşti ancak farklı saldırganlar tarafından yürütüldü
- Birçok yayın organı SN_BlackMeta’yı veri ihlalinin arkasındaki taraf olarak yanlış aktardı, ancak gerçek veri ihlali saldırganı BleepingComputer ile ayrı olarak iletişime geçip yöntemi anlattı
- İlk ihlal, Internet Archive’ın geliştirme sunucusu services-hls.dev.archive.org üzerinde açığa çıkan bir GitLab yapılandırma dosyasından başladı
- Söz konusu GitLab token’ının en az Aralık 2022’den beri açığa çıktığı ve sonrasında birkaç kez döndürüldüğü doğrulandı
Kaynak koddan devam eden ek erişim
- Saldırgan, GitLab yapılandırma dosyasındaki kimlik doğrulama token’ı sayesinde Internet Archive’ın kaynak kodunu indirmesinin mümkün olduğunu söyledi
- Saldırgan, kaynak kod içinde ek kimlik bilgileri ve kimlik doğrulama token’ları bulduğunu iddia etti
- Bunlar arasında Internet Archive’ın veritabanı yönetim sistemi kimlik bilgileri de vardı ve bunlarla şu erişimlerin mümkün olduğu öne sürüldü
- Kuruluşun kullanıcı veritabanını indirme
- Ek kaynak kod indirme
- Siteyi değiştirme
- Saldırgan Internet Archive’dan 7 TB veri çaldığını iddia etti ancak bunu destekleyen örnek bir kanıt paylaşmadı
- Daha sonra çalınan veriler arasında Internet Archive’ın Zendesk destek sistemi için kullanılan API erişim token’ının da bulunduğu ortaya çıktı
Tekrarlanan uyarılara rağmen kalan müdahale boşlukları
- BleepingComputer, ihlalin nasıl gerçekleştiğini ve motivasyonunu paylaşmayı teklif ederek Internet Archive ile birçok kez iletişime geçti
- En son iletişim cuma günü kuruldu ancak yanıt alınamadı
- Bu son Zendesk ihlali, saldırganın GitLab kimlik doğrulama token sızıntısından sonra ilgili token’ların yeterince değiştirilmediği yönündeki iddiasıyla bağlantılı görünüyor
Saldırı motivasyonu ve veri dolaşımı riski
- Internet Archive ihlalinin ardından, arkasında İsrail, ABD hükümeti veya telif hakkı anlaşmazlığı yaşayan şirketlerin olduğu yönünde komplo teorileri yayıldı
- Bu ihlal, siyasi ya da maddi nedenlerden çok saldırganın bunu yapabildiği için gerçekleşmişe daha yakın görünüyor
- Çalınan veri ticareti topluluklarında şu motivasyonlar bulunuyor
- Mağduru şantajla para ödemeye zorlamak
- Verileri başka saldırganlara satmak
- İhlal verisi toplamak
- Açık sızıntıyla cyber street cred kazanmak
- Internet Archive tanınmış ve çok popüler bir web sitesi olduğu için saldırganın itibarını artırmasına yardımcı oluyor
- Bu ihlali hiç kimse kamuya açık biçimde üstlenmedi, ancak saldırganın başkalarıyla grup sohbeti sırasında ihlali gerçekleştirdiği ve birkaç kişinin çalınan verilerin bir kısmını aldığı bildiriliyor
- Söz konusu veritabanı ihlal verisi topluluklarında el değiştiriyor olabilir ve gelecekte Breached gibi hack forumlarına ücretsiz olarak sızdırılabilir
1 yorum
Hacker News yorumları
Internet Archive gibi özgeci bir hizmete saldıran tehdit aktörlerini görmek gerçekten üzücü. Bu tür gerici davranışlar moral bozuyor
“İster genel bir soru sormaya çalışmış olun, ister Wayback Machine’den bir sitenin silinmesini talep etmiş olun, verileriniz artık rastgele bir kişinin elinde. Ben olmasaydım başka biri olurdu.”
Bu yüzden bu kadar önemli bir işten tek bir kuruluşun sorumlu olmaması gerektiği fikrinde haklılık payı var mı diye düşündürüyor
Çok miktarda kişisel tanımlanabilir bilgi işleyen dev bir kuruluşun güvenliği hiç umursamadığını ortaya koyması açısından bir kamu yararı işlevi görüyor sayılır
Suç eylemi suç eylemidir. Çok sayıda ziyaretçi çeken yerlerin, müşterilerinin mağdur olmaması için düzgün güvenlik önlemleri alması gerekir
Daha kötüsü olabilirdi
Bilgi güvenliği bilgisi sağlam olan biri için, iyi bir amaç uğruna ücretsiz uzmanlık sunmak adına iyi bir fırsat
Library of Congress interneti korumalı ve bu işi yapacak bütçeye de sahip olmalı
“Library of Congress” misyonuyla da uyumlu. Belirli bir zamanda internette ne olduğuna dair doğru bir kayda sahip olmak, internetle ilgili yasa yapımı veya düzenlemeleri tartışırken yardımcı olur
Wikipedia’ya[2] göre Heritrix ve Wayback tabanlı; ikisini de Internet Archive geliştirdi. Blog yazısı da “Wayback software” ifadesini kullanıyor. Mevcut arşiv materyalleri buradan görülebilir: http://webarchive.loc.gov/
[0] https://www.loc.gov/programs/web-archiving/about-this-progra...
[1] https://blogs.loc.gov/thesignal/2023/08/the-web-archiving-te...
[2] https://en.m.wikipedia.org/wiki/List_of_Web_archiving_initia...
Dağıtık depolama tabanlı bir arşive ihtiyaç var. Internet Archive’ın çalışmalarını seviyor ve destekliyorum ama tarihi koruma işi, tek bir kuruluşa, yani tek bir arıza noktasına bırakılmayacak kadar önemli
IA da depolamayı dağıtmayı denedi, ama sözde kaldığı kadar gerçekten kendi depolama alanını açan yeterli sayıda kişi olmadı
https://www.lockss.org/
Rastgeleleştirilmiş bir mutabakat protokolüne dayanan harika bir sistem. Bilgi güvenliği makalesi konusu yapmak istemiştim, ama güvenlik modeli o kadar iyi tasarlanmıştı ki benim ekleyebileceğim bir şey yoktu
Farklı veriler her zaman farklı referanslar alırsa, yeterli yedeğin olup olmadığını anlamak kolaylaşır. Aynı ad, farklı koşullarda alınmış anlık görüntü yığınlarını gösteriyorsa, o ad için yedeklemek istediğimiz şeyin ne olduğundan emin olmak zorlaşır
Veri büyük, ama Archive.org kadar büyük değil: https://libgen.is/repository_torrent/. Yine de bu tür dağıtık düğümlere gidecek finansman gerekiyor ve ana amaç dayanıklılık gibi görünüyor
Ama IA dâhil birkaç arşiv ekibine kullanmak isteyip istemediklerini sorduğumda ya hiç yanıt alamadım ya da olumsuz yanıt aldım
Internet Archive’ı kimin, neden hedef aldığını bilen var mı? Saldırı, basit bir şaka amaçlı vandallık olarak görülemeyecek kadar sofistike izlenimi veriyor
Üstelik ana görevi veriyi yaymak; gelir elde etmek için veriyi saklamak değil
Tuzluk benzetmesini bilmeyenler için kadim bilgeliğin özgün metni:
https://web.archive.org/web/20060619131835/http://xelios.liv...
Çeviri olarak herhangi birini seçebilirsiniz:
https://malaya-zemlya.livejournal.com/697779.html
https://personal-view.com/talks/discussion/25915/humor-hacke...
https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
En başta kendilerini hedef almak için pek neden olmadığını düşünüp güvenlik konusunda epey gevşek davranmış olmaları şaşırtıcı olmaz
Herkes daha sağlam dayanağı olan kendi sonucuna varabilir ama bana güçlü biçimde devlet kurumu kokusu geliyor
Finansman modelinin ne olduğunu bilmiyorum ama nakit varsa güvenlik ekibi işe almak bence en öncelikli yatırım kalemi olmalı
Hangi vandal bir kütüphaneye saldırır? Sorumluları gerçekten bulmak gerekiyor
Üzücü gerçek şu ki internette haksız yere saldırıya uğrayan çok kişi var ve soruşturma odağı ile kaynak eksikliği nedeniyle bunların önemli bir kısmı cezasız kalıyor
Wayback Machine anlık görüntüsü bir davaya her yardımcı olduğunda avukatların IA’ya birkaç dolar gönderdiği bir dünya hayal ediyorum. O zaman kısa sürede dünya çapında bir yönetici ekibini karşılayabilirlerdi
Geçmişte bir web sayfasının durumu önemliyse, karşı taraf istedi diye kaybolmayan bir kayda ihtiyaç var. perma.cc tam da bu fikre dayanıyor
Neredeyse 1 yıl önce özgeçmişimi göndermiştim, düne kadar hiç yanıt gelmemişti. Şimdi bekleyen başvuruları karıştırıp iş gücü arıyorlar gibi görünüyor
IA’dan daha iyi bir alternatife ihtiyaç olduğunu düşünen, başka bir çözüm olduğuna inanan ya da bunu başka bir kuruluşun işletmesi gerektiğini savunan herkese: rekabetçi bir alternatifin ortaya çıkmasını kimse engellemedi
IA’nın zaten yaptığı ve paylaştığı çalışmalar sayesinde başlangıç noktası açısından da öndesiniz; deneyip görebilirsiniz