Internet Archive udsættes for cyberangreb, hackere sender emails

Internet Arkivet, et velkendt non-profit digitalt bibliotek og hjemsted for Wayback Machine, har for nylig været mål for flere cyberangreb, hvilket har ført til betydelige serviceforstyrrelser for brugerne.

I en ny udvikling blev organisationen udsat for et brud på dens Zendesk e-mail support platform. Dette brud opstod efter gentagne advarsler om tyveri af udsatte GitLab-autentificeringstokens af skadelige aktører, som rapporteret af BleepingComputer (BC).

Søndag morgen rapporterede The Verge at have modtaget en e-mail fra “The Internet Archive Team” i respons på en forespørgsel, de sendte den 9. oktober.

Det ser dog ud til, at denne e-mail ikke blev sendt af det officielle supportteam, men derimod var forfattet af de hackere, der tidligere havde kompromitteret siden. Dette antyder, at de stadig har adgang til organisationens systemer.

Brugere på Internet Archive subreddit har også rapporteret om at have modtaget lignende svar, hvilket forøger bekymringerne omkring sikkerhed.

BC rapporterede også om at have modtaget adskillige beskeder fra brugere, som blev gjort opmærksomme på bruddet gennem svar på deres gamle fjernelsesanmodninger. Mange af disse notifikationer advarede om, at Internet Archive ikke effektivt havde roteret de stjålne autentifikationstokens.

En e-mail fra hackeren til BC udtrykte skuffelse og sagde: “Det er nedslående at se, at selvom IA blev gjort opmærksom på bruddet for uger siden, har de stadig ikke udvist den fornødne omhu ved at ændre mange af de API-nøgler, der blev eksponeret i deres gitlab-hemmeligheder.”

I sidste uge blev Internet Archive hacket, hvilket resulterede i lækage af følsomme oplysninger tilhørende millioner af brugere og hærværk på siden med en besked, der gjorde grin med organisationen for at operere på et begrænset budget, bemærkede The Washington Post.

For at begrænse yderligere lækager besluttede Internet Archive’s team at tage hjemmesiden ned, inklusive den bredt anvendte Wayback Machine, som bemærket af The Post.

Grundlægger Brewster Kahle afslørede, at det var første gang i næsten 30 år, at hjemmesiden oplevede en nedetid, der varede mere end et par timer, bemærkede The Post.

BC hævder, at det tidligere har rapporteret, at Internetarkivet oplevede samtidige angreb den foregående uge: et databrud, der påvirkede brugerdataene for 33 millioner konti, og et Distributed Denial of Service (DDoS) angreb, der blev orkestreret af en gruppe ved navn SN_BlackMeta.

Selvom begge hændelser fandt sted i samme tidsrum, blev de udført af forskellige trusselaktører. Mange nyhedsmedier tilskrev fejlagtigt databrudet til SN_BlackMeta, hvilket sammenblandede de to angreb, bemærkede BC.

Denne fejlagtige fremstilling frustrerede den faktiske gerningsmand bag databrudet, hvilket fik dem til at kontakte BC. De påtog sig ansvaret for bruddet og gav detaljer om, hvordan de infiltrerede Internetarkivet.

Ifølge angriberne stammer bruddet fra opdagelsen af en udsat GitLab konfigurationsfil på en af organisationens udviklingsservere. BC bekræftede, at denne token havde været offentligt tilgængelig siden mindst december 2022 og var blevet roteret flere gange siden.

Hackerne hævdede, at denne GitLab-konfigurationsfil indeholdt en autentifikationstoken, der gjorde dem i stand til at downloade Internet Archives kildekode, hvilket igen inkluderede yderligere legitimationsoplysninger og autentifikationstokens, herunder dem til organisationens databasestyringssystem.

Denne adgang gjorde det muligt for dem at downloade brugerdatabasen, yderligere kildekode, og endda ændre på hjemmesiden. De hævdede, at de stjal 7TB data fra Internet Archive, men leverede ikke prøver som bevis, som rapporteret af BC.

Det er nu blevet bekræftet, at de stjålne data også inkluderede API adgangstokens til Internet Arkivets Zendesk-supportsystem. BC sagde, at de havde forsøgt at kontakte Internet Arkivet flere gange, senest på fredag, for at diskutere bruddet og dets konsekvenser, men modtog intet svar.

Ifølge The Verge arbejder Internet Arkivets team døgnet rundt på tværs af tidszoner for at genoprette tjenester. I et blogindlæg dateret den 17. oktober indikerede Kahle, at webstedet forventer at genoprette flere tjenester i de “kommende dage,” selvom det i første omgang kan være i skrivebeskyttet tilstand, da fuld genopretning kan tage yderligere tid.

Årsagerne bag de seneste cyberangreb på siden er fortsat uklare, siger The Verge. Forbes foreslår, at motivationen bag disse brud synes at være mere omdømmerelateret end økonomisk.

The Post bemærkede, at Internet Archive tidligere har stået over for juridiske udfordringer, herunder retssager fra bogudgivere og musiklabels over digitalisering af ophavsretligt beskyttet materiale, hvilket organisationen fastholder er tilladt til ikke-kommercielle arkivformål.

The Post rapporterer, at Kahle advarede om, at de potentielle bøder fra disse sagsanlæg, som kunne løbe op i hundredvis af millioner af dollars, udgør en betydelig trussel mod Internet Archives overlevelse.

Mens disse retssager er i gang, står Internet Archive nu over for den dobbelte udfordring at håndtere juridiske tvister og bekæmpe cybertrusler.

Organisationen oplevede tidligere et DDoS-angreb i maj, hvilket førte til periodiske nedbrud. Kahle nævnte over for The Post, at dette var den første gang i historien, at sitet var blevet målrettet.