İnternet Arşivi, tehdit aktörlerinin açığa çıkan GitLab kimlik doğrulama tokenlarını çaldığına dair tekrarlanan uyarıların ardından bu kez Zendesk e-posta destek platformunda bir kez daha ihlal edildi.
Dün geceden bu yana BleepingComputer, eski İnternet Arşivi kaldırma taleplerine yanıt alan kişilerden, çalınan kimlik doğrulama belirteçlerini doğru şekilde döndürmedikleri için kuruluşun ihlal edildiğine dair uyarıda bulunan çok sayıda mesaj aldı.
Tehdit aktöründen gelen bir e-postada, “Haftalar önce ihlalin farkına varıldıktan sonra bile IA’nin, gitlab sırlarında açığa çıkan API anahtarlarının çoğunu döndürme konusunda gereken özeni göstermediğini görmek moral bozucu” diyor.
“Bu mesajda da gösterildiği gibi, bu, 2018’den bu yana [email protected] adresine gönderilen 800.000’den fazla destek bildirimine erişim izni içeren bir Zendesk jetonunu içeriyor.”
“İster genel bir soru sormaya çalışıyor olun, ister sitenizin Wayback Machine’den kaldırılmasını talep ediyor olun, verileriniz şu anda rastgele bir adamın elinde. Ben olmasaydım, başka biri olurdu.”
Bu e-postalardaki e-posta başlıkları aynı zamanda tüm DKIM, DMARC ve SPF kimlik doğrulama kontrollerini geçerek bunların 192.161.151.10 adresindeki yetkili bir Zendesk sunucusu tarafından gönderildiğini kanıtlar.
Bu e-postalar, BleepingComputer’ın İnternet Arşivi’ni, kaynak kodlarının neredeyse iki yıl boyunca çevrimiçi olarak açığa çıkan GitLab kimlik doğrulama belirteci aracılığıyla çalındığı konusunda defalarca uyarmaya çalışmasının ardından geldi.
Açığa çıkan GitLab kimlik doğrulama belirteçleri
9 Ekim’de BleepingComputer, İnternet Arşivi’nin geçen hafta aynı anda iki farklı saldırıya uğradığını bildirdi: sitenin 33 milyon kullanıcıya ait kullanıcı verilerinin çalındığı bir veri ihlali ve SN_BlackMeta adlı Filistin yanlısı bir grup tarafından yapılan bir DDoS saldırısı.
Her iki saldırı da aynı dönemde gerçekleşmiş olsa da farklı tehdit aktörleri tarafından gerçekleştirildi. Ancak birçok kaynak, hatalı bir şekilde, ihlalin arkasında yalnızca DDoS saldırılarının değil, SN_BlackMeta’nın olduğunu bildirdi.
Bu yanlış raporlama, saldırının sorumluluğunu üstlenmek ve İnternet Arşivi’ni nasıl ihlal ettiklerini açıklamak için bir aracı aracılığıyla BleepingComputer ile iletişime geçen gerçek veri ihlalinin arkasındaki tehdit aktörünü hayal kırıklığına uğrattı.
Tehdit aktörü BleepingComputer’a, İnternet Arşivi’ndeki ilk ihlalin, kuruluşun geliştirme sunucularından birinde açıkta kalan bir GitLab yapılandırma dosyasını bulmasıyla başladığını söyledi. services-hls.dev.archive.org.
BleepingComputer, bu tokenin en az Aralık 2022’den bu yana açığa çıktığını ve o zamandan bu yana birçok kez döndüğünü doğruladı.
Tehdit aktörü, bu GitLab yapılandırma dosyasının, İnternet Arşivi kaynak kodunu indirmelerine olanak tanıyan bir kimlik doğrulama belirteci içerdiğini söylüyor.
Bilgisayar korsanı, bu kaynak kodunun, İnternet Arşivi’nin veritabanı yönetim sistemine ait kimlik bilgileri de dahil olmak üzere ek kimlik bilgileri ve kimlik doğrulama jetonları içerdiğini söylüyor. Bu, tehdit aktörünün kuruluşun kullanıcı veritabanını indirmesine, daha fazla kaynak kodu indirmesine ve siteyi değiştirmesine olanak tanıdı.
Tehdit aktörü, İnternet Arşivi’nden 7 TB veri çaldığını iddia etti ancak kanıt olarak herhangi bir örneği paylaşmadı.
Ancak artık çalınan verilerin İnternet Arşivi’nin Zendesk destek sistemi için API erişim belirteçlerini de içerdiğini biliyoruz.
BleepingComputer, Cuma gününe kadar pek çok kez İnternet Arşivi’ne giderek ihlalin nasıl gerçekleştiği ve neden yapıldığına dair bildiklerimizi paylaşmayı teklif etti, ancak hiçbir yanıt alamadık.
Siber sokak itibarı nedeniyle ihlal edildi
İnternet Arşivi’nin ihlalinin ardından, neden saldırıya uğradığına dair komplo teorileri ortaya çıktı.
Bazıları bunu İsrail’in, ABD hükümetinin veya şirketlerin telif hakkı ihlali nedeniyle İnternet Arşivi ile devam eden mücadelesinde yaptığını söyledi.
Ancak İnternet Arşivi siyasi veya parasal nedenlerden dolayı değil, yalnızca tehdit aktörünün bunu yapabilmesi nedeniyle ihlal edildi.
İster kurbandan şantaj yaparak para karşılığında, ister diğer tehdit aktörlerine satarak, ister sadece veri ihlali toplayıcıları oldukları için çalıntı veri trafiğini gerçekleştiren geniş bir insan topluluğu var.
Bu veriler genellikle kazanç sağlamak için ücretsiz olarak yayınlanır siber sokak kredisi, Hepsi kimin en önemli ve en çok duyurulan saldırıları gerçekleştireceği konusunda yarışırken, bu topluluktaki diğer tehdit aktörleri arasında itibarları artıyor.
İnternet Arşivi olayında, örgüte şantaj yapılmaya çalışılarak kazanılacak bir para yoktu. Bununla birlikte, tanınmış ve son derece popüler bir web sitesi olarak, kişinin bu topluluktaki itibarını kesinlikle artırdı.
Kimse bu ihlali kamuya açık bir şekilde iddia etmese de, BleepingComputer’a bunun, tehdit aktörünün başkalarıyla grup sohbeti yaparken yapıldığı ve birçoğunun çalınan verilerin bir kısmını aldığı söylendi.
Bu veritabanı şu anda muhtemelen veri ihlali topluluğundaki diğer kişiler arasında alınıp satılıyor ve muhtemelen gelecekte Breached gibi hack forumlarında ücretsiz olarak sızdırıldığını göreceğiz.