Internet Archive ถูกเจาะอีกครั้งผ่านโทเค็นเข้าถึงที่ถูกขโมย
(bleepingcomputer.com)- Internet Archive ยังมีปัญหา โทเค็นยืนยันตัวตนที่เปิดเผย ค้างอยู่ แม้หลังจากเหตุข้อมูลรั่วไหลและ DDoS ก่อนหน้า ทำให้ครั้งนี้ระบบสนับสนุนทางอีเมล Zendesk ถูกเจาะด้วย
- ผู้โจมตีระบุว่าได้โทเค็น Zendesk ที่สามารถเข้าถึง ทิกเก็ตสนับสนุนมากกว่า 800,000 รายการ ที่ส่งถึง info@archive.org ตั้งแต่ปี 2018 และอีเมลที่ส่งผ่านการตรวจสอบ DKIM, DMARC, SPF
- การเจาะครั้งแรกเริ่มจากโทเค็นที่เปิดเผยอยู่ใน ไฟล์คอนฟิก GitLab บนเซิร์ฟเวอร์พัฒนา โดยพบว่าโทเค็นดังกล่าวเปิดเผยอยู่อย่างน้อยตั้งแต่เดือนธันวาคม 2022
- ซอร์สโค้ดที่ถูกขโมยมีข้อมูลรับรองของระบบจัดการฐานข้อมูลและโทเค็นเพิ่มเติม จึงอาจถูกเข้าถึงได้ถึงฐานข้อมูลผู้ใช้และสิทธิ์ในการแก้ไขเว็บไซต์
- การโจมตีดูเหมือนมุ่งสร้าง cyber street cred มากกว่าการเมืองหรือเงิน และยังมีความเสี่ยงที่ข้อมูลที่ถูกขโมยจะถูกหมุนเวียนในชุมชนข้อมูลรั่วไหลหรือฟอรัมแฮ็ก
การเจาะลามไปถึงระบบสนับสนุน Zendesk
- ครั้งนี้ Internet Archive ถูกเจาะอีกครั้งผ่าน แพลตฟอร์มสนับสนุนทางอีเมล Zendesk
- ผู้ใช้หลายรายที่เคยส่งคำขอลบข้อมูลถึง Internet Archive ได้รับอีเมลตอบกลับ โดยข้อความเตือนว่าองค์กรไม่ได้เปลี่ยนโทเค็นยืนยันตัวตนที่ถูกขโมยอย่างเหมาะสม
- อีเมลของผู้โจมตีระบุว่า แม้ Internet Archive จะทราบเรื่องการถูกเจาะเมื่อหลายสัปดาห์ก่อน แต่ก็ยังไม่ได้หมุนเวียน API key หลายรายการที่เปิดเผยอยู่ใน GitLab secrets
- ผู้โจมตีระบุว่าโทเค็น Zendesk มีสิทธิ์เข้าถึง ทิกเก็ตสนับสนุนมากกว่า 800,000 รายการ ที่ส่งถึง info@archive.org ตั้งแต่ปี 2018
- เฮดเดอร์ของอีเมลดังกล่าวผ่านการตรวจสอบการยืนยันตัวตน DKIM, DMARC, SPF ทั้งหมด และยืนยันได้ว่าส่งจากเซิร์ฟเวอร์ Zendesk ที่ได้รับอนุญาต หมายเลข 192.161.151.10
ความเป็นไปได้ที่ไฟล์แนบในทิกเก็ตสนับสนุนจะถูกเปิดเผย
- ผู้ใช้บางรายต้องอัปโหลด เอกสารยืนยันตัวตนส่วนบุคคล เมื่อขอลบหน้าออกจาก Wayback Machine
- หากผู้โจมตีดาวน์โหลดทิกเก็ตสนับสนุนผ่านสิทธิ์เข้าถึง Zendesk API ก็อาจเข้าถึงไฟล์แนบเหล่านั้นได้ด้วย
- Zendesk มี API สำหรับดูไฟล์แนบของทิกเก็ต และขอบเขตการเปิดเผยจริงขึ้นอยู่กับสิทธิ์ API ที่ผู้โจมตีมีและมีการใช้งานหรือไม่
การเปิดเผยโทเค็น GitLab และการโจมตีก่อนหน้า
- เมื่อวันที่ 9 ตุลาคม Internet Archive เผชิญการโจมตีสองแบบในช่วงเวลาเดียวกัน
- เหตุข้อมูลรั่วไหลที่ข้อมูลผู้ใช้เว็บไซต์ 33 ล้านคน ถูกขโมย
- การโจมตี DDoS จากกลุ่มที่อ้างว่าสนับสนุนปาเลสไตน์ชื่อ SN_BlackMeta
- การโจมตีทั้งสองเกิดขึ้นในช่วงเดียวกัน แต่ดำเนินการโดยผู้โจมตีคนละกลุ่ม
- สื่อหลายแห่งรายงานผิดว่า SN_BlackMeta อยู่เบื้องหลังเหตุข้อมูลรั่วไหล แต่ผู้โจมตีข้อมูลรั่วไหลตัวจริงได้ติดต่อ BleepingComputer แยกต่างหากและอธิบายวิธีโจมตี
- การเจาะครั้งแรกเริ่มจากไฟล์คอนฟิก GitLab ที่เปิดเผยอยู่บนเซิร์ฟเวอร์พัฒนาของ Internet Archive คือ services-hls.dev.archive.org
- โทเค็น GitLab ดังกล่าวเปิดเผยอยู่อย่างน้อยตั้งแต่ เดือนธันวาคม 2022 และภายหลังพบว่าถูกหมุนเวียนเปลี่ยนหลายครั้ง
การเข้าถึงเพิ่มเติมจากซอร์สโค้ด
- ผู้โจมตีระบุว่าโทเค็นยืนยันตัวตนในไฟล์คอนฟิก GitLab ทำให้สามารถ ดาวน์โหลดซอร์สโค้ด ของ Internet Archive ได้
- ผู้โจมตีอ้างว่าพบข้อมูลรับรองและโทเค็นยืนยันตัวตนเพิ่มเติมในซอร์สโค้ด
- ในจำนวนนี้มีข้อมูลรับรองของ ระบบจัดการฐานข้อมูล ของ Internet Archive รวมอยู่ด้วย ซึ่งอ้างว่าทำให้เข้าถึงสิ่งต่อไปนี้ได้
- ดาวน์โหลดฐานข้อมูลผู้ใช้ขององค์กร
- ดาวน์โหลดซอร์สโค้ดเพิ่มเติม
- แก้ไขเว็บไซต์
- ผู้โจมตีอ้างว่าขโมย ข้อมูล 7TB จาก Internet Archive แต่ไม่ได้แชร์ตัวอย่างหลักฐาน
- ต่อมาพบว่าข้อมูลที่ถูกขโมยยังมี โทเค็นเข้าถึง API สำหรับระบบสนับสนุน Zendesk ของ Internet Archive รวมอยู่ด้วย
ช่องว่างในการรับมือที่ยังเหลืออยู่แม้มีการเตือนซ้ำ
- BleepingComputer ติดต่อ Internet Archive หลายครั้ง พร้อมเสนอจะแชร์วิธีเกิดเหตุเจาะและแรงจูงใจ
- การติดต่อครั้งล่าสุดคือวันศุกร์ แต่ไม่ได้รับคำตอบ
- เหตุเจาะ Zendesk ครั้งนี้เชื่อมโยงกับคำกล่าวอ้างของผู้โจมตีว่า หลังจากโทเค็นยืนยันตัวตน GitLab เปิดเผย องค์กรไม่ได้เปลี่ยนโทเค็นที่เกี่ยวข้องให้เพียงพอ
แรงจูงใจของผู้โจมตีและความเสี่ยงการกระจายข้อมูล
- หลังเหตุเจาะ Internet Archive มีทฤษฎีสมคบคิดแพร่กระจายว่าอิสราเอล รัฐบาลสหรัฐฯ หรือบริษัทที่มีข้อพิพาทด้านลิขสิทธิ์อยู่เบื้องหลัง
- เหตุเจาะครั้งนี้ดูเหมือนเกิดขึ้นเพราะผู้โจมตีสามารถทำได้ มากกว่าจะเป็นเหตุผลทางการเมืองหรือการเงิน
- ในชุมชนซื้อขายข้อมูลที่ถูกขโมย มีแรงจูงใจดังต่อไปนี้
- รีดไถเงินจากเหยื่อ
- ขายข้อมูลให้ผู้โจมตีรายอื่น
- สะสมข้อมูลจากเหตุรั่วไหล
- สร้าง cyber street cred ผ่านการปล่อยข้อมูลสู่สาธารณะ
- Internet Archive เป็นเว็บไซต์ที่เป็นที่รู้จักและได้รับความนิยมมาก จึงช่วยเพิ่มชื่อเสียงให้ผู้โจมตีได้
- แม้ยังไม่มีใครออกมาอ้างความรับผิดชอบต่อเหตุเจาะนี้อย่างเปิดเผย แต่มีรายงานว่าผู้โจมตีลงมือระหว่างแชตกลุ่มกับผู้อื่น และมีหลายคนได้รับข้อมูลบางส่วนที่ขโมยไป
- ฐานข้อมูลดังกล่าวอาจกำลังถูกซื้อขายในชุมชนข้อมูลรั่วไหล และในอนาคตอาจถูกปล่อยฟรีบนฟอรัมแฮ็กอย่าง Breached
1 ความคิดเห็น
ความเห็นจาก Hacker News
มันน่าเศร้ามากที่ได้เห็นผู้ไม่หวังดีโจมตีบริการที่ทำเพื่อส่วนรวมอย่าง Internet Archive พฤติกรรมถอยหลังเข้าคลองแบบนี้บั่นทอนกำลังใจจริง ๆ
“ไม่ว่าคุณจะพยายามถามคำถามทั่วไป หรือขอให้ลบเว็บไซต์ออกจาก Wayback Machine ตอนนี้ข้อมูลของคุณอยู่ในมือของคนแปลกหน้าคนไหนก็ได้ ถ้าไม่ใช่ฉัน ก็ต้องเป็นคนอื่นอยู่ดี”
เลยทำให้นึกได้ว่าคำพูดที่ว่า ไม่ควรให้องค์กรเดียวรับผิดชอบงานที่สำคัญขนาดนี้ ก็มีเหตุผลอยู่เหมือนกัน
อย่างน้อยมันก็ทำหน้าที่เพื่อสาธารณะในแง่ที่เปิดโปงว่าองค์กรขนาดใหญ่ที่จัดการ ข้อมูลระบุตัวบุคคล จำนวนมาก กลับไม่ใส่ใจความปลอดภัยเลย
อาชญากรรมก็คืออาชญากรรม สถานที่ที่ดึงผู้เข้าชมจำนวนมากต้องมีระบบความปลอดภัยที่เหมาะสมเพื่อไม่ให้ผู้ใช้กลายเป็นเหยื่อ
มันอาจแย่กว่านี้ได้อีก
ถ้าใครมีความรู้ด้านความมั่นคงปลอดภัยสารสนเทศแน่นพอ นี่เป็นโอกาสดีที่จะมอบ ความเชี่ยวชาญแบบไม่คิดค่าใช้จ่าย เพื่อจุดประสงค์ที่ดี
Library of Congress ควรเป็นผู้เก็บรักษาอินเทอร์เน็ต และควรมีงบประมาณสำหรับงานนั้นด้วย
มันก็สอดคล้องกับภารกิจในชื่อ “Library of Congress” อยู่แล้ว การมีบันทึกที่แม่นยำว่า ณ ช่วงเวลาหนึ่งบนอินเทอร์เน็ตมีอะไรอยู่บ้าง ย่อมช่วยได้มากเวลาถกเรื่องกฎหมายหรือกฎระเบียบที่เกี่ยวกับอินเทอร์เน็ต
ตาม Wikipedia[2] ระบบนี้สร้างบน Heritrix และ Wayback ซึ่งทั้งคู่พัฒนาโดย Internet Archive และในโพสต์บล็อกก็พูดถึง “Wayback software” ด้วย ปัจจุบันดูข้อมูลที่เก็บรักษาไว้ได้ที่นี่: http://webarchive.loc.gov/
[0] https://www.loc.gov/programs/web-archiving/about-this-progra...
[1] https://blogs.loc.gov/thesignal/2023/08/the-web-archiving-te...
[2] https://en.m.wikipedia.org/wiki/List_of_Web_archiving_initia...
เราต้องการคลังเก็บข้อมูลที่อิงกับ ที่เก็บข้อมูลแบบกระจายศูนย์ ฉันชอบและสนับสนุนงานของ Internet Archive แต่การเก็บรักษาประวัติศาสตร์สำคัญเกินกว่าจะฝากไว้กับองค์กรเดียว ซึ่งก็เท่ากับเป็นจุดล้มเหลวเพียงจุดเดียว
IA เองก็เคยพยายามกระจายที่เก็บข้อมูล แต่ในทางปฏิบัติมีคนยอมสละพื้นที่เก็บข้อมูลของตัวเองไม่มากพออย่างที่พูดกัน
https://www.lockss.org/
เป็นระบบที่ยอดเยี่ยมและพึ่งพาโปรโตคอลฉันทามติแบบสุ่ม เคยอยากใช้เป็นหัวข้อบทความด้านความมั่นคงปลอดภัยสารสนเทศ แต่ แบบจำลองความปลอดภัย ถูกออกแบบมาดีเกินกว่าจะมีอะไรให้ฉันเติมได้
ถ้าข้อมูลที่ต่างกันได้รับการอ้างอิงที่ต่างกันเสมอ ก็จะรู้ได้ง่ายว่ามีแบ็กอัพเพียงพอหรือไม่ แต่ถ้าชื่อเดียวกันชี้ไปที่กองสแนปช็อตที่ถูกสร้างขึ้นภายใต้เงื่อนไขต่างกัน ก็ยากจะมั่นใจว่าอะไรคือสิ่งที่เราอยากสำรองไว้สำหรับชื่อนั้น
ข้อมูลมีขนาดใหญ่ก็จริง แต่ยังไม่ใหญ่เท่า Archive.org: https://libgen.is/repository_torrent/. ถึงอย่างนั้นก็ยังต้องใช้เงินเพื่อไปสู่ โหนดแบบกระจายศูนย์ เหล่านี้ และดูเหมือนเป้าหมายหลักคือความทนทานต่อความล้มเหลว
แต่เมื่อสอบถามทีมอาร์ไคฟ์บางแห่งรวมถึง IA ว่ามีความตั้งใจจะใช้งานหรือไม่ ก็ไม่ได้รับคำตอบ หรือไม่ก็ได้รับแต่คำตอบเชิงปฏิเสธ
มีใครรู้ไหมว่าใครกำลังเล่นงาน Internet Archive และทำไปทำไม? ดูเหมือนว่าการโจมตีจะซับซ้อนเกินกว่าจะมองว่าเป็นแค่พวกป่วนทำลายเล่นๆ
แถมภารกิจหลักก็คือการกระจายข้อมูล ไม่ใช่ซ่อนข้อมูลเพื่อทำกำไร
สำหรับคนที่ไม่รู้จักอุปมาเรื่องกระปุกเกลือ นี่คือต้นฉบับภูมิปัญญาโบราณ:
https://web.archive.org/web/20060619131835/http://xelios.liv...
จะเลือกอ่านคำแปลอันไหนก็ได้:
https://malaya-zemlya.livejournal.com/697779.html
https://personal-view.com/talks/discussion/25915/humor-hacke...
https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
ตั้งแต่แรกก็แทบไม่มีเหตุผลให้คิดว่าจะตกเป็นเป้าอยู่แล้ว ดังนั้นต่อให้เรื่องความปลอดภัยจะค่อนข้างหละหลวมก็ไม่น่าแปลกใจ
แต่ละคนก็คงสรุปกันไปตามหลักฐานที่ตัวเองเห็นได้ แต่สำหรับฉันมันมีกลิ่นหน่วยงานรัฐค่อนข้างแรง
ไม่รู้ว่าโมเดลเงินทุนเป็นยังไง แต่ถ้ามีเงินสด ฉันว่าเรื่อง จ้างทีมความปลอดภัย ควรเป็นรายการลงทุนลำดับแรก
คนทำลายแบบไหนถึงไปโจมตีห้องสมุดกัน? ต้องหาตัวคนรับผิดชอบให้เจอจริงๆ
ความจริงที่น่าเศร้าคือมีคนจำนวนมากถูกโจมตีอย่างไม่เป็นธรรมบนอินเทอร์เน็ต และเพราะข้อจำกัดเรื่องทรัพยากรกับการจัดลำดับความสำคัญในการสืบสวน หลายกรณีก็จบลงโดยไม่มีใครถูกลงโทษ
ลองนึกภาพโลกที่ทุกครั้งที่ Wayback Machine snapshot ช่วยในคดีความ ทนายจะส่งเงินให้ IA คนละไม่กี่ดอลลาร์ แบบนั้นก็คงจ้าง ทีมผู้ดูแลระบบ ระดับโลกได้ในเวลาไม่นาน
ถ้าสภาพของหน้าเว็บในอดีตมีความสำคัญ คุณต้องมีบันทึกที่ไม่หายไปเพียงเพราะอีกฝ่ายร้องขอ perma.cc ก็คือแนวคิดแบบนั้น
ฉันส่งเรซูเม่ไปเกือบปีที่แล้ว และจนถึงเมื่อวานก็ยังไม่ได้รับคำตอบอะไรเลย ดูเหมือนตอนนี้พวกเขากำลังคุ้ย ใบสมัครที่ค้างอยู่ เพื่อหาคนมาช่วยงาน
สำหรับทุกคนที่คิดว่าต้องมีทางเลือกที่ดีกว่า IA หรือเชื่อว่ามีวิธีแก้อื่น หรือมองว่าควรให้องค์กรอื่นเป็นคนทำ: ก็ไม่มีใครเคยขัดขวางไม่ให้เกิดทางเลือกมาแข่ง
แถมตอนนี้ยังได้ จุดเริ่มต้น ที่นำหน้าอยู่แล้วจากงานที่ IA ทำและแบ่งปันไว้ ลองลงมือทำเองก็ได้