Le 20 octobre 2024, l'Internet Archive, la plus grande bibliothèque numérique du monde, a subi une nouvelle violation de données. Cette fois-ci, les tokens d'accès volés ont permis à un hacker d'accéder à l'instance Zendesk de l'Internet Archive, un système de support client. Les utilisateurs et les médias ont reçu un e-mail prétendument envoyé par l'équipe de l'Internet Archive, partageant un token d'accès volé. Cet e-mail accusait l'Internet Archive de ne pas avoir correctement révoqué les clés API exposées dans leurs secrets GitLab. Les attaquants ont pu accéder à plus de 800 000 tickets de support envoyés à l'adresse info@archive.org depuis 2018.Internet Archive a de nouveau été victime d'une violation de données, cette fois sur sa plateforme d'assistance par courriel Zendesk, après avoir été averti à plusieurs reprises que des acteurs malveillants avaient volé des jetons d'authentification GitLab exposés.
Les médias ont reçu de nombreux messages de personnes ayant reçu des réponses à leurs anciennes demandes de suppression d'Internet Archive, les avertissant que l'organisation avait été violée car elle n'avait pas correctement révoqué les jetons d'authentification exposés.
« Il est décourageant de voir que même après avoir été informé de la faille il y a plusieurs semaines, IA [ndlr. Internet Archive] n'a toujours pas fait preuve de la diligence nécessaire pour faire pivoter de nombreuses clés API qui ont été exposées dans leurs secrets gitlab », peut-on lire dans un courriel des cybercriminels.
« Comme le démontre ce message, cela inclut un jeton Zendesk avec des permissions pour accéder à 800K+ tickets d'assistance envoyés à info@archive.org depuis 2018.
« Que vous essayiez de poser une question générale ou que vous demandiez le retrait de votre site de la Wayback Machine, vos données sont maintenant entre les mains d'un type aléatoire. Si ce n'est pas moi, ce sera quelqu'un d'autre ».
Les en-têtes de ces courriels passent également tous les contrôles d'authentification DKIM, DMARC et SPF, ce qui prouve qu'ils ont été envoyés par un serveur Zendesk autorisé à 192.161.151.10. Cela n'est pas sans rappeler l'altercation entre Zendesk et un adolescent lorsque ce dernier les a notifié d'une vulnérabilité qui permettait l'usurpation d'adresse électronique :
Au début de l'année, j'ai découvert une grave vulnérabilité dans Zendesk qui permettait aux attaquants de lire les tickets de support client de n'importe quelle entreprise utilisant Zendesk. Tout ce qu'ils avaient à faire, c'était d'envoyer un courrier électronique élaboré à un courrier électronique d'assistance géré par Zendesk. Le plus choquant ? Zendesk ne semblait pas s'en préoccuper.
Le bogue lui-même était étonnamment simple. Zendesk n'avait pas de protection efficace contre l'usurpation d'adresse électronique, et cet oubli a permis d'exploiter la fonction de collaboration par courriel pour accéder aux tickets d'autres personnes.
Le bogue lui-même était étonnamment simple. Zendesk n'avait pas de protection efficace contre l'usurpation d'adresse électronique, et cet oubli a permis d'exploiter la fonction de collaboration par courriel pour accéder aux tickets d'autres personnes.
Le groupe de recherche en sécurité Vx-underground a commenté sur X : « Il semble que la ou les personnes qui ont compromis The Internet Archive conservent une forme d'accès persistant et tentent d'envoyer un message ».
Jake Moore, conseiller mondial en cybersécurité chez ESET, a déclaré que cet épisode montre « qu'il est vital que les entreprises agissent rapidement dans le cadre d'un audit complet [à la suite d'une telle attaque], car il est clair que les acteurs malveillants reviendront encore et encore pour tester leurs nouvelles défenses ».
Un destinataire de ces courriels a indiqué qu'il a dû télécharger une pièce d'identité personnelle lorsqu'il avait demandé la suppression d'une page de la Wayback Machine. Le cybercriminel peut maintenant également avoir accès à ces pièces jointes en fonction de l'accès API qu'il avait à Zendesk et s'il l'a utilisé pour télécharger des tickets d'assistance.
[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">The Internet Archive users are reporting to have received this e-mail just moments ago.<br><br>It appears that the person(s) who compromised The Internet Archive still maintain some form of persistent access and are trying to send a message. <a href="https://t.co/3zfj5iabbP">pic.twitter.com/3zfj5iabbP</a></p>— vx-underground (@vxunderground) <a href="https://twitter.com/vxunderground/status/1847885968809906221?ref_src=twsrc%5Etfw">October 20, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/TWITTER]
Jetons d'authentification GitLab exposés
Il a été rapporté qu'Internet Archive avait été victime de deux attaques simultanées (une violation de données au cours de laquelle les données de plus de 31 millions d'utilisateurs du site ont été volées et une attaque DDoS menée par un groupe pro-palestinien présumé appelé SN_BlackMeta).
Bien que les deux attaques se soient produites au cours de la même période, elles ont été menées par des groupes différents. Toutefois, de nombreux médias ont rapporté à tort que SN_BlackMeta était à l'origine de la violation et non pas seulement des attaques DDoS.
Cette déclaration a frustré le hacker à l'origine de la véritable violation de données, qui a décidé de contacter quelques médias spécialisés par le biais d'un intermédiaire pour s'attribuer le mérite de l'attaque et expliquer comment ils avaient pénétré dans les systèmes d'Internet Archive. Il a expliqué que la violation initiale d'Internet Archive a commencé par la découverte d'un fichier de configuration GitLab exposé sur l'un des serveurs de développement de l'organisation, services-hls.dev.archive.org.
Les médias contactés ont pu confirmer que ce jeton était exposé depuis au moins décembre 2022, et qu'il avait été modifié à plusieurs reprises depuis lors.
Le hacker affirme que ce fichier de configuration GitLab contenait un jeton d'authentification lui permettant de télécharger le code source d'Internet Archive. Le hacker assure que ce code source contenait des informations d'identification et des jetons d'authentification supplémentaires, y compris les informations d'identification du système de gestion de base de données d'Internet Archive. Cela lui a permis de télécharger la base de données des utilisateurs de l'organisation, d'autres codes sources et de modifier le site.
Le hacker indique avoir volé 7 To de données à Internet Archive, mais n'a pas voulu partager d'échantillons à titre de preuve.
Toutefois, nous savons désormais que les données volées comprenaient également les jetons d'accès à l'API pour le système d'assistance Zendesk d'Internet Archive.
Ev Kontsevoy, PDG de Teleport, a commenté :
« Cette attaque pourrait signifier que l'acteur de la menace a maintenant accès à plus de 800 000 tickets d'assistance. Alors que beaucoup ont critiqué Internet Archive pour ne pas avoir révoquer [correctement] les clés API, il peut s'avérer difficile pour les organisations, à la suite d'une brèche, de faire le tri dans le rayon d'action d'une attaque afin d'empêcher toute exploitation ultérieure.
« Une vue instantanée des relations d'accès est essentielle dans le paysage actuel des menaces. Si vous pouvez intervenir directement sur les identités et les ressources affectées, vous pouvez gérer l'incident sans perturber l'ensemble de votre communauté d'utilisateurs ».
Malgré ces incidents, ni l'Internet Archive ni son fondateur, Brewster Kahle, n'ont communiqué sur les tokens d'accès volés ou l'e-mail Zendesk approuvé.
Une brèche exploitée pour se donner de la cybercrédibilité
Après la violation de l'Internet Archive, les théories du complot se sont multipliées sur les raisons de l'attaque. Certains ont dit que c'était Israël, le gouvernement des États-Unis ou des entreprises dans le cadre de la bataille qu'elles mènent contre l'Internet Archive au sujet de la violation des droits d'auteur.
Cependant, l'Internet Archive n'a pas été attaqué pour des raisons politiques ou monétaires, mais simplement parce que le hacker le pouvait.
Il existe une vaste communauté...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.