خانه » اینترنت آرشیو (Internet Archive) دوباره هک شد!

اینترنت آرشیو (Internet Archive) دوباره هک شد!

توسط Vulnerbyte
22 بازدید
Internet Archive - اینترنت آرشیو - Zendesk - گروه vulnerbyte - گروه والنربایت - vulnerbyte group

سازمان غیرانتفاعی اینترنت آرشیو (Internet Archive) مجددا مورد حمله هکری قرار گرفت. هکرها موفق شدند توکن‌های احراز هویت GitLab را ربوده و به پلتفرم پشتیبانی ایمیل Zendesk سازمان نفوذ کنند.

Internet Archive در اوایل اکتبر نیز دچار هک، سرقت اطلاعات و حملات قدرتمند DDoS شده بود. مهاجمان در این نفوذ موفق به سرقت اطلاعات حدود 31 میلیون کاربر شدند.

گروه هک طرفدار فلسطین به نام SN_BlackMeta مسئولیت حملات DDoS را بر عهده گرفت. اگرچه هک DDoS و اینترنت آرشیو تقریبا به صورت همزمان اتفاق افتاد، اما مهاجمان مختلفی پشت این دو حمله بودند. یعنی تخریب و سرقت اطلاعات به هیچ وجه به SN_BlackMeta مربوط نمی‌شود و کار یک هکر (یا گروه) ناشناس است.

نفوذ اولیه اینترنت آرشیو در اوایل اکتبر با پیدا کردن یک فایل پیکربندی GitLab در دسترس عموم در یکی از سرورهای توسعه سازمان به نام services-hls.dev.archive.org آغاز شد.

Internet Archive - اینترنت آرشیو - Zendesk - گروه vulnerbyte - گروه والنربایت - vulnerbyte group
توکن احراز هویت GitLab اینترنت آرشیو که در معرض عموم قرار دارد

شخصی که اینترنت آرشیو را هک کرده بود اذعان داشت که این فایل پیکربندی GitLab حاوی یک توکن احراز هویت است که به او اجازه می‌دهد کد منبع آرشیو اینترنت را دانلود کند.

به گفته هکر این کد منبع، حاوی داده های لاگین و توکن‌های احراز هویت از جمله داده‌های لاگین سیستم مدیریت پایگاه داده اینترنت آرشیو است. این داده‌ها به هکر اجازه می‌دنهد تا پایگاه داده کاربران سازمان و کد منبع را دانلود و سایت را اصلاح کند.

هکر ادعا کرده است که 7 ترابایت داده را از اینترنت آرشیو ربوده است اما هیچ نمونه‌ای را برای اثبات حرف خود به اشتراک نگذاشته است. آنچه تاکنون قطعی و مشخص می‌باشد این است که توکن‌های دسترسی API سیستم پشتیبانی Zendesk در اینترنت آرشیو جزو اطلاعات ربوده شده هستند.

بسیاری از کاربران در حمله دوم به طور غیرمنتظره پاسخ درخواست‌های قدیمی خود برای حذف محتوا از اینترنت آرشیو را دریافت کردند. این پیام‌ها توسط هکر(ها) با این مضمون نوشته شده‌اند که “سازمان به دلیل بی‌دقتی و سهل انگاری در مورد توکن‌های احراز هویت خود که دو هفته پیش در اولین حمله به سرقت رفته بودند، مجدد هک شده است”.

در این ایمیل آمده است که “این ناامیدکننده است که می‌بینیم حتی پس از گزارش هک چندین هفته پیش، IA (اینترنت آرشیو) نتوانسته است بررسی‌های لازم را انجام دهد و بسیاری از کلیدهای API را که به صورت مخفیانه در GitLab افشا شده بودند، به روزرسانی کند”.

همانطور که در این ایمیل دیده می‌شود، این هک شامل یک توکن Zendesk دارای مجوز برای دسترسی به 800 هزار تیکت پشتیبانی است که از سال 2018 به info@archive.org ارسال شده است.

ایمیل Zendesk که توسط هکر ارسال شده است

هدرهای این ایمیل‌ها تمام بررسی‌های احراز هویت DKIM، DMARC و SPF را پاس و ثابت کرده‌اند که توسط یک سرور مجاز Zendesk از آدرس 192.161.151.10 ارسال شده‌اند.

هدرهای ایمیل Zendesk اینترنت آرشیو

یکی از گیرندگان این ایمیل‌ها به BleepingComputer گفته است که هنگام درخواست حذف یک صفحه از Wayback Machine، باید شناسه شخصی خود را آپلود کند.

هکرها اکنون ممکن است بسته به دسترسی API خود به Zendesk و اینکه آیا از آن برای دانلود تیکت‌های پشتیبانی استفاده کرده‌اند یا خیر، می‌توانند به این پیوست‌ها دسترسی داشته باشد.

پس از هک شدن اینترنت آرشیو، تئوری‌های زیادی در مورد اینکه چه کسی می‌توانست این NPO را هک کند و چرا کسی اصلاً به آن نیاز دارد، مطرح شد. برخی بر این باورند که اسرائیل پشت این حمله قرار دارد، برخی دیگر دولت آمریکا را مقصر می‌دانند و برخی دیگر مشکوک هستند که شرکت‌های بزرگی که مدت‌هاست به دلیل نقض حق چاپ با اینترنت آرشیو در بحث و جدال هستند پشت این ماجرا باشند.

آنچه مشخص و واضح است، این است که انگیزه هکرها سیاسی یا مالی نبوده است و این منبع فقط به سبب توانایی هکر وکسب شهرت هک شده است.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید