Internet Archive a de nouveau été victime d'une violation de données, cette fois sur sa plateforme d'assistance par courriel Zendesk, après avoir été averti à plusieurs reprises que des acteurs malveillants avaient volé des jetons d'authentification GitLab exposés.
Les médias ont reçu de nombreux messages de personnes ayant reçu des réponses à leurs anciennes demandes de suppression d'Internet Archive, les avertissant que l'organisation avait été violée car elle n'avait pas correctement révoqué les jetons d'authentification exposés.
« Il est décourageant de voir que même après avoir été informé de la faille il y a plusieurs semaines, IA [ndlr. Internet Archive] n'a toujours pas fait preuve de la diligence nécessaire pour faire pivoter de nombreuses clés API qui ont été exposées dans leurs secrets gitlab », peut-on lire dans un courriel des cybercriminels.
« Comme le démontre ce message, cela inclut un jeton Zendesk avec des permissions pour accéder à 800K+ tickets d'assistance envoyés à info@archive.org depuis 2018.
« Que vous essayiez de poser une question générale ou que vous demandiez le retrait de votre site de la Wayback Machine, vos données sont maintenant entre les mains d'un type aléatoire. Si ce n'est pas moi, ce sera quelqu'un d'autre ».
Les en-têtes de ces courriels passent également tous les contrôles d'authentification DKIM, DMARC et SPF, ce qui prouve qu'ils ont été envoyés par un serveur Zendesk autorisé à 192.161.151.10. Cela n'est pas sans rappeler l'altercation entre Zendesk et un adolescent lorsque ce dernier les a notifié d'une vulnérabilité qui permettait l'usurpation d'adresse électronique :
Au début de l'année, j'ai découvert une grave vulnérabilité dans Zendesk qui permettait aux attaquants de lire les tickets de support client de n'importe quelle entreprise utilisant Zendesk. Tout ce qu'ils avaient à faire, c'était d'envoyer un courrier électronique élaboré à un courrier électronique d'assistance géré par Zendesk. Le plus choquant ? Zendesk ne semblait pas s'en préoccuper.
Le bogue lui-même était étonnamment simple. Zendesk n'avait pas de protection efficace contre l'usurpation d'adresse électronique, et cet oubli a permis d'exploiter la fonction de collaboration par courriel pour accéder aux tickets d'autres personnes.
Le bogue lui-même était étonnamment simple. Zendesk n'avait pas de protection efficace contre l'usurpation d'adresse électronique, et cet oubli a permis d'exploiter la fonction de collaboration par courriel pour accéder aux tickets d'autres personnes.
Le groupe de recherche en sécurité Vx-underground a commenté sur X : « Il semble que la ou les personnes qui ont compromis The Internet Archive conservent une forme d'accès persistant et tentent d'envoyer un message ».
Jake Moore, conseiller mondial en cybersécurité chez ESET, a déclaré que cet épisode montre « qu'il est vital que les entreprises agissent rapidement dans le cadre d'un audit complet [à la suite d'une telle attaque], car il est clair que les acteurs malveillants reviendront encore et encore pour tester leurs nouvelles défenses ».
Un destinataire de ces courriels a indiqué qu'il a dû télécharger une pièce d'identité personnelle lorsqu'il avait demandé la suppression d'une page de la Wayback Machine. Le cybercriminel peut maintenant également avoir accès à ces pièces jointes en fonction de l'accès API qu'il avait à Zendesk et s'il l'a utilisé pour télécharger des tickets d'assistance.
[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">The Internet Archive users are reporting to have received this e-mail just moments ago.<br><br>It appears that the person(s) who compromised The Internet Archive still maintain some form of persistent access and are trying to send a message. <a href="https://t.co/3zfj5iabbP">pic.twitter.com/3zfj5iabbP</a></p>— vx-underground (@vxunderground) <a href="https://twitter.com/vxunderground/status/1847885968809906221?ref_src=twsrc%5Etfw">October 20, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/TWITTER]
Jetons d'authentification GitLab exposés
Il a été rapporté qu'Internet Archive avait été victime de deux attaques simultanées (une violation de données au cours de laquelle les données de plus de 31 millions d'utilisateurs du site ont été volées et une attaque DDoS menée par un groupe pro-palestinien présumé appelé SN_BlackMeta).
Bien que les deux attaques se soient produites au cours de la même période, elles ont été menées par des groupes différents. Toutefois, de nombreux médias ont rapporté à tort que SN_BlackMeta était à l'origine de la violation et non pas seulement des attaques DDoS.
Cette déclaration a frustré le hacker à l'origine de la véritable violation de données, qui a décidé de contacter quelques médias spécialisés par le biais d'un intermédiaire pour s'attribuer le mérite de l'attaque et expliquer comment ils avaient pénétré dans les systèmes d'Internet Archive. Il a expliqué que la violation initiale d'Internet Archive a commencé par la découverte d'un fichier de configuration GitLab exposé sur l'un des serveurs de développement de l'organisation, services-hls.dev.archive.org.
Les médias contactés ont pu confirmer que ce jeton était exposé depuis au moins décembre 2022, et qu'il avait été modifié à plusieurs reprises depuis lors.
Le hacker affirme que ce fichier de configuration GitLab contenait un jeton d'authentification lui permettant de télécharger le code source d'Internet Archive. Le hacker assure que ce code source contenait des informations d'identification et des jetons d'authentification supplémentaires, y compris les informations d'identification du système de gestion de base de données d'Internet Archive. Cela lui a permis de télécharger la base de données des utilisateurs de l'organisation, d'autres codes sources et de modifier le site.
Le hacker indique avoir volé 7 To de données à Internet Archive, mais n'a pas voulu partager d'échantillons à titre de preuve.
Toutefois, nous savons désormais que les données volées comprenaient également les jetons d'accès à l'API pour le système d'assistance Zendesk d'Internet Archive.
Ev Kontsevoy, PDG de Teleport, a commenté :
« Cette attaque pourrait signifier que l'acteur de la menace a maintenant accès à plus de 800 000 tickets d'assistance. Alors que beaucoup ont critiqué Internet Archive pour ne pas avoir révoquer [correctement] les clés API, il peut s'avérer difficile pour les organisations, à la suite d'une brèche, de faire le tri dans le rayon d'action d'une attaque afin d'empêcher toute exploitation ultérieure.
« Une vue instantanée des relations d'accès est essentielle dans le paysage actuel des menaces. Si vous pouvez intervenir directement sur les identités et les ressources affectées, vous pouvez gérer l'incident sans perturber l'ensemble de votre communauté d'utilisateurs ».
Malgré ces incidents, ni l'Internet Archive ni son fondateur, Brewster Kahle, n'ont communiqué sur les tokens d'accès volés ou l'e-mail Zendesk approuvé.
Une brèche exploitée pour se donner de la cybercrédibilité
Après la violation de l'Internet Archive, les théories du complot se sont multipliées sur les raisons de l'attaque. Certains ont dit que c'était Israël, le gouvernement des États-Unis ou des entreprises dans le cadre de la bataille qu'elles mènent contre l'Internet Archive au sujet de la violation des droits d'auteur.
Cependant, l'Internet Archive n'a pas été attaqué pour des raisons politiques ou monétaires, mais simplement parce que le hacker le pouvait.
Il existe une vaste communauté de personnes qui s'adonnent au trafic de données volées, que ce soit pour de l'argent en extorquant la victime, en les vendant à d'autres acteurs de la menace, ou simplement parce qu'ils sont des collectionneurs de violations de données. Ces données sont souvent diffusées gratuitement pour gagner en cybercrédibilité, ce qui leur permet d'accroître leur réputation auprès des autres acteurs de cette communauté qui se disputent les attaques les plus importantes et les plus médiatisées.
Dans le cas d'Internet Archive, il n'y avait pas d'argent à gagner en essayant d'extorquer l'organisation. Cependant, le fait qu'il s'agisse d'un site web bien connu et extrêmement populaire a certainement renforcé la réputation d'une personne au sein de cette communauté.
Bien que personne n'ait publiquement revendiqué cette violation, certains médias indiquent avoir appris qu'elle avait été réalisée alors que le hacker se trouvait dans un groupe de discussion avec d'autres personnes, et que plusieurs d'entre elles avaient reçu une partie des données volées. Cette base de données est maintenant probablement échangée entre d'autres personnes dans la communauté des violations de données, et nous la verrons probablement divulguée gratuitement à l'avenir sur des forums de piratage tels que Breached.
Des leçons à en tirer
La vulnérabilité continue des systèmes numériques. La récurrence des attaques contre l'Internet Archive illustre une problématique plus vaste : la vulnérabilité des systèmes numériques face aux attaques sophistiquées. Malgré les avancées technologiques et les investissements en cybersécurité, les institutions majeures restent des cibles privilégiées pour les hackers. Cela pose la question de la suffisance des mesures de sécurité actuelles et de l'importance de l'innovation continue dans ce domaine.
Gestion de crise et transparence. L'absence de communication officielle de la part de l'Internet Archive et de GitLab après la découverte de l'intrusion peut être perçue comme un manque de transparence. Dans un contexte où la confiance des utilisateurs est primordiale, cette absence de communication peut éroder la crédibilité de ces institutions. Une réponse rapide et transparente aurait pu permettre de contenir la crise et de rassurer les utilisateurs sur les mesures prises pour sécuriser leurs données.
Responsabilité et prévention. Il est crucial de rappeler l'importance des audits réguliers et des pratiques de gestion des clés API pour éviter de telles brèches. La rotation des clés d'accès et la surveillance constante des systèmes peuvent jouer un rôle déterminant dans la prévention des accès non autorisés. L'incident soulève également la question de la responsabilité des fournisseurs de services et de leur devoir de protéger les données des utilisateurs.
Cette série d'attaques met en lumière les défis de la cybersécurité et l'importance de protéger les données sensibles des utilisateurs. Les utilisateurs de l'Internet Archive sont encouragés à surveiller leurs comptes et à rester vigilants face aux tentatives de phishing ou d'autres formes d'attaques.
Source : Vx-underground
Et vous ?
Quelles mesures les utilisateurs devraient-ils prendre pour protéger leurs propres données à la lumière de cette brèche ?
Pensez-vous que l'Internet Archive a été transparent dans sa gestion de cette crise ?
Comment les entreprises peuvent-elles améliorer la sécurité de leurs systèmes pour éviter de telles attaques ?
Quels impacts ces brèches de sécurité peuvent-elles avoir sur la confiance du public envers les plateformes numériques ?