Le 20 octobre 2024, l’Internet Archive, la plus grande bibliothque numrique du monde, a subi une nouvelle violation de donnes. Cette fois-ci, les tokens d’accs vols ont permis un hacker d’accder l’instance Zendesk de l’Internet Archive, un systme de support client. Les utilisateurs et les mdias ont reu un e-mail prtendument envoy par l’quipe de l’Internet Archive, partageant un token d’accs vol. Cet e-mail accusait l’Internet Archive de ne pas avoir correctement rvoqu les cls API exposes dans leurs secrets GitLab. Les attaquants ont pu accder plus de 800 000 tickets de support envoys l’adresse info@archive.org depuis 2018.
Internet Archive a de nouveau t victime d’une violation de donnes, cette fois sur sa plateforme d’assistance par courriel Zendesk, aprs avoir t averti plusieurs reprises que des acteurs malveillants avaient vol des jetons d’authentification GitLab exposs.
Les mdias ont reu de nombreux messages de personnes ayant reu des rponses leurs anciennes demandes de suppression d’Internet Archive, les avertissant que l’organisation avait t viole car elle n’avait pas correctement rvoqu les jetons d’authentification exposs.
Il est dcourageant de voir que mme aprs avoir t inform de la faille il y a plusieurs semaines, IA [ndlr. Internet Archive] n’a toujours pas fait preuve de la diligence ncessaire pour faire pivoter de nombreuses cls API qui ont t exposes dans leurs secrets gitlab , peut-on lire dans un courriel des cybercriminels.
Comme le dmontre ce message, cela inclut un jeton Zendesk avec des permissions pour accder 800K+ tickets d’assistance envoys info@archive.org depuis 2018.
Que vous essayiez de poser une question gnrale ou que vous demandiez le retrait de votre site de la Wayback Machine, vos donnes sont maintenant entre les mains d’un type alatoire. Si ce n’est pas moi, ce sera quelqu’un d’autre .
Les en-ttes de ces courriels passent galement tous les contrles d’authentification DKIM, DMARC et SPF, ce qui prouve qu’ils ont t envoys par un serveur Zendesk autoris 192.161.151.10. Cela n’est pas sans rappeler l’altercation entre Zendesk et un adolescent lorsque ce dernier les a notifi d’une vulnrabilit qui permettait l’usurpation d’adresse lectronique :
Au dbut de l’anne, j’ai dcouvert une grave vulnrabilit dans Zendesk qui permettait aux attaquants de lire les tickets de support client de n’importe quelle entreprise utilisant Zendesk. Tout ce qu’ils avaient faire, c’tait d’envoyer un courrier lectronique labor un courrier lectronique d’assistance gr par Zendesk. Le plus choquant ? Zendesk ne semblait pas s’en proccuper.
Le bogue lui-mme tait tonnamment simple. Zendesk n’avait pas de protection efficace contre l’usurpation d’adresse lectronique, et cet oubli a permis d’exploiter la fonction de collaboration par courriel pour accder aux tickets d’autres personnes.
Si Zendesk a minimis l’incident, l’entreprise a du rapidement ragir ds que l’adolescent a commenc alerter les clients de Zendesk
Le groupe de recherche en scurit Vx-underground a comment sur X : Il semble que la ou les personnes qui ont compromis The Internet Archive conservent une forme d’accs persistant et tentent d’envoyer un message .
Jake Moore, conseiller mondial en cyberscurit chez ESET, a dclar que cet pisode montre qu’il est vital que les entreprises agissent rapidement dans le cadre d’un audit complet [ la suite d’une telle attaque], car il est clair que les acteurs malveillants reviendront encore et encore pour tester leurs nouvelles dfenses .
Un destinataire de ces courriels a indiqu qu’il a d tlcharger une pice d’identit personnelle lorsqu’il avait demand la suppression d’une page de la Wayback Machine. Le cybercriminel peut maintenant galement avoir accs ces pices jointes en fonction de l’accs API qu’il avait Zendesk et s’il l’a utilis pour tlcharger des tickets d’assistance.
The Internet Archive users are reporting to have received this e-mail just moments ago.
It appears that the person(s) who compromised The Internet Archive still maintain some form of persistent access and are trying to send a message. pic.twitter.com/3zfj5iabbP
— vx-underground (@vxunderground) October 20, 2024
Jetons d’authentification GitLab exposs
Il a t rapport qu’Internet Archive avait t victime de deux attaques simultanes (une violation de donnes au cours de laquelle les donnes de plus de 31 millions d’utilisateurs du site ont t voles et une attaque DDoS mene par un groupe pro-palestinien prsum appel SN_BlackMeta).
Bien que les deux attaques se soient produites au cours de la mme priode, elles ont t menes par des groupes diffrents. Toutefois, de nombreux mdias ont rapport tort que SN_BlackMeta tait l’origine de la violation et non pas seulement des attaques DDoS.
Cette dclaration a frustr le hacker l’origine de la vritable violation de donnes, qui a dcid de contacter quelques mdias spcialiss par le biais d’un intermdiaire pour s’attribuer le mrite de l’attaque et expliquer comment ils avaient pntr dans les systmes d’Internet Archive. Il a expliqu que la violation initiale d’Internet Archive a commenc par la dcouverte d’un fichier de configuration GitLab expos sur l’un des serveurs de dveloppement de l’organisation, services-hls.dev.archive.org.
Les mdias contacts ont pu confirmer que ce jeton tait expos depuis au moins dcembre 2022, et qu’il avait t modifi plusieurs reprises depuis lors.
Le hacker affirme que ce fichier de configuration GitLab contenait un jeton d’authentification lui permettant de tlcharger le code source d’Internet Archive. Le hacker assure que ce code source contenait des informations d’identification et des jetons d’authentification supplmentaires, y compris les informations d’identification du systme de gestion de base de donnes d’Internet Archive. Cela lui a permis de tlcharger la base de donnes des utilisateurs de l’organisation, d’autres codes sources et de modifier le site.
Le hacker indique avoir vol 7 To de donnes Internet Archive, mais n’a pas voulu partager d’chantillons titre de preuve.
Toutefois, nous savons dsormais que les donnes voles comprenaient galement les jetons d’accs l’API pour le systme d’assistance Zendesk d’Internet Archive.
Ev Kontsevoy, PDG de Teleport, a comment :
Cette attaque pourrait signifier que l’acteur de la menace a maintenant accs plus de 800 000 tickets d’assistance. Alors que beaucoup ont critiqu Internet Archive pour ne pas avoir rvoquer [correctement] les cls API, il peut s’avrer difficile pour les organisations, la suite d’une brche, de faire le tri dans le rayon d’action d’une attaque afin d’empcher toute exploitation ultrieure.
Une vue instantane des relations d’accs est essentielle dans le paysage actuel des menaces. Si vous pouvez intervenir directement sur les identits et les ressources affectes, vous pouvez grer l’incident sans perturber l’ensemble de votre communaut d’utilisateurs .
Malgr ces incidents, ni l’Internet Archive ni son fondateur, Brewster Kahle, n’ont communiqu sur les tokens d’accs vols ou l’e-mail Zendesk approuv.
Une brche exploite pour se donner de la cybercrdibilit
Aprs la violation de l’Internet Archive, les thories du complot se sont multiplies sur les raisons de l’attaque. Certains ont dit que c’tait Isral, le gouvernement des tats-Unis ou des entreprises dans le cadre de la bataille qu’elles mnent contre l’Internet Archive au sujet de la violation des droits d’auteur.
Cependant, l’Internet Archive n’a pas t attaqu pour des raisons politiques ou montaires, mais simplement parce que le hacker le pouvait.
Il existe une vaste communaut de personnes qui s’adonnent au trafic de donnes voles, que ce soit pour de l’argent en extorquant la victime, en les vendant d’autres acteurs de la menace, ou simplement parce qu’ils sont des collectionneurs de violations de donnes. Ces donnes sont souvent diffuses gratuitement pour gagner en cybercrdibilit, ce qui leur permet d’accrotre leur rputation auprs des autres acteurs de cette communaut qui se disputent les attaques les plus importantes et les plus mdiatises.
Dans le cas d’Internet Archive, il n’y avait pas d’argent gagner en essayant d’extorquer l’organisation. Cependant, le fait qu’il s’agisse d’un site web bien connu et extrmement populaire a certainement renforc la rputation d’une personne au sein de cette communaut.
Bien que personne n’ait publiquement revendiqu cette violation, certains mdias indiquent avoir appris qu’elle avait t ralise alors que le hacker se trouvait dans un groupe de discussion avec d’autres personnes, et que plusieurs d’entre elles avaient reu une partie des donnes voles. Cette base de donnes est maintenant probablement change entre d’autres personnes dans la communaut des violations de donnes, et nous la verrons probablement divulgue gratuitement l’avenir sur des forums de piratage tels que Breached.
Des leons en tirer
La vulnrabilit continue des systmes numriques. La rcurrence des attaques contre l’Internet Archive illustre une problmatique plus vaste : la vulnrabilit des systmes numriques face aux attaques sophistiques. Malgr les avances technologiques et les investissements en cyberscurit, les institutions majeures restent des cibles privilgies pour les hackers. Cela pose la question de la suffisance des mesures de scurit actuelles et de l’importance de l’innovation continue dans ce domaine.
Gestion de crise et transparence. L’absence de communication officielle de la part de l’Internet Archive et de GitLab aprs la dcouverte de l’intrusion peut tre perue comme un manque de transparence. Dans un contexte o la confiance des utilisateurs est primordiale, cette absence de communication peut roder la crdibilit de ces institutions. Une rponse rapide et transparente aurait pu permettre de contenir la crise et de rassurer les utilisateurs sur les mesures prises pour scuriser leurs donnes.
Responsabilit et prvention. Il est crucial de rappeler l’importance des audits rguliers et des pratiques de gestion des cls API pour viter de telles brches. La rotation des cls d’accs et la surveillance constante des systmes peuvent jouer un rle dterminant dans la prvention des accs non autoriss. L’incident soulve galement la question de la responsabilit des fournisseurs de services et de leur devoir de protger les donnes des utilisateurs.
Cette srie d’attaques met en lumire les dfis de la cyberscurit et l’importance de protger les donnes sensibles des utilisateurs. Les utilisateurs de l’Internet Archive sont encourags surveiller leurs comptes et rester vigilants face aux tentatives de phishing ou d’autres formes d’attaques.
Source : Vx-underground
Et vous ?
Quelles mesures les utilisateurs devraient-ils prendre pour protger leurs propres donnes la lumire de cette brche ?
Pensez-vous que l’Internet Archive a t transparent dans sa gestion de cette crise ?
Comment les entreprises peuvent-elles amliorer la scurit de leurs systmes pour viter de telles attaques ?
Quels impacts ces brches de scurit peuvent-elles avoir sur la confiance du public envers les plateformes numriques ?