سازمان غیرانتفاعی اینترنت آرشیو (Internet Archive) مجددا مورد حمله هکری قرار گرفت. هکرها موفق شدند توکنهای احراز هویت GitLab را ربوده و به پلتفرم پشتیبانی ایمیل Zendesk سازمان نفوذ کنند.
Internet Archive در اوایل اکتبر نیز دچار هک، سرقت اطلاعات و حملات قدرتمند DDoS شده بود. مهاجمان در این نفوذ موفق به سرقت اطلاعات حدود 31 میلیون کاربر شدند.
گروه هک طرفدار فلسطین به نام SN_BlackMeta مسئولیت حملات DDoS را بر عهده گرفت. اگرچه هک DDoS و اینترنت آرشیو تقریبا به صورت همزمان اتفاق افتاد، اما مهاجمان مختلفی پشت این دو حمله بودند. یعنی تخریب و سرقت اطلاعات به هیچ وجه به SN_BlackMeta مربوط نمیشود و کار یک هکر (یا گروه) ناشناس است.
نفوذ اولیه اینترنت آرشیو در اوایل اکتبر با پیدا کردن یک فایل پیکربندی GitLab در دسترس عموم در یکی از سرورهای توسعه سازمان به نام services-hls.dev.archive.org آغاز شد.
شخصی که اینترنت آرشیو را هک کرده بود اذعان داشت که این فایل پیکربندی GitLab حاوی یک توکن احراز هویت است که به او اجازه میدهد کد منبع آرشیو اینترنت را دانلود کند.
به گفته هکر این کد منبع، حاوی داده های لاگین و توکنهای احراز هویت از جمله دادههای لاگین سیستم مدیریت پایگاه داده اینترنت آرشیو است. این دادهها به هکر اجازه میدنهد تا پایگاه داده کاربران سازمان و کد منبع را دانلود و سایت را اصلاح کند.
هکر ادعا کرده است که 7 ترابایت داده را از اینترنت آرشیو ربوده است اما هیچ نمونهای را برای اثبات حرف خود به اشتراک نگذاشته است. آنچه تاکنون قطعی و مشخص میباشد این است که توکنهای دسترسی API سیستم پشتیبانی Zendesk در اینترنت آرشیو جزو اطلاعات ربوده شده هستند.
بسیاری از کاربران در حمله دوم به طور غیرمنتظره پاسخ درخواستهای قدیمی خود برای حذف محتوا از اینترنت آرشیو را دریافت کردند. این پیامها توسط هکر(ها) با این مضمون نوشته شدهاند که “سازمان به دلیل بیدقتی و سهل انگاری در مورد توکنهای احراز هویت خود که دو هفته پیش در اولین حمله به سرقت رفته بودند، مجدد هک شده است”.
در این ایمیل آمده است که “این ناامیدکننده است که میبینیم حتی پس از گزارش هک چندین هفته پیش، IA (اینترنت آرشیو) نتوانسته است بررسیهای لازم را انجام دهد و بسیاری از کلیدهای API را که به صورت مخفیانه در GitLab افشا شده بودند، به روزرسانی کند”.
همانطور که در این ایمیل دیده میشود، این هک شامل یک توکن Zendesk دارای مجوز برای دسترسی به 800 هزار تیکت پشتیبانی است که از سال 2018 به info@archive.org ارسال شده است.
هدرهای این ایمیلها تمام بررسیهای احراز هویت DKIM، DMARC و SPF را پاس و ثابت کردهاند که توسط یک سرور مجاز Zendesk از آدرس 192.161.151.10 ارسال شدهاند.
یکی از گیرندگان این ایمیلها به BleepingComputer گفته است که هنگام درخواست حذف یک صفحه از Wayback Machine، باید شناسه شخصی خود را آپلود کند.
هکرها اکنون ممکن است بسته به دسترسی API خود به Zendesk و اینکه آیا از آن برای دانلود تیکتهای پشتیبانی استفاده کردهاند یا خیر، میتوانند به این پیوستها دسترسی داشته باشد.
پس از هک شدن اینترنت آرشیو، تئوریهای زیادی در مورد اینکه چه کسی میتوانست این NPO را هک کند و چرا کسی اصلاً به آن نیاز دارد، مطرح شد. برخی بر این باورند که اسرائیل پشت این حمله قرار دارد، برخی دیگر دولت آمریکا را مقصر میدانند و برخی دیگر مشکوک هستند که شرکتهای بزرگی که مدتهاست به دلیل نقض حق چاپ با اینترنت آرشیو در بحث و جدال هستند پشت این ماجرا باشند.
آنچه مشخص و واضح است، این است که انگیزه هکرها سیاسی یا مالی نبوده است و این منبع فقط به سبب توانایی هکر وکسب شهرت هک شده است.