Internet Archive चोरी हुए access tokens के जरिए फिर से breach हुआ
(bleepingcomputer.com)- Internet Archive में पिछली data breach और DDoS के बाद भी exposed authentication tokens की समस्या बनी रही, और इस बार Zendesk email support system तक breach हो गया
- हमलावर ने कहा कि उसके पास ऐसा Zendesk token है जिससे 2018 से info@archive.org पर आए 8 लाख से अधिक support tickets तक पहुंच मिल सकती है, और भेजा गया email DKIM, DMARC, SPF checks पास कर गया
- शुरुआती breach development server के GitLab configuration file में exposed token से शुरू हुआ था, और पुष्टि हुई कि यह token कम से कम दिसंबर 2022 से exposed था
- चोरी हुए source code में database management system credentials और अतिरिक्त tokens शामिल थे, जिससे user database और site modification privileges तक access मिला हो सकता है
- यह हमला राजनीति या पैसे से ज्यादा cyber street cred हासिल करने जैसा दिखता है, और चोरी हुआ data breach-data communities या hacking forums में circulate होने का जोखिम बना हुआ है
Zendesk support system तक पहुंचा breach
- Internet Archive इस बार Zendesk email support platform के जरिए फिर से breach हुआ
- पहले Internet Archive को deletion requests भेजने वाले कई users को reply मिला, और message ने चेतावनी दी कि organization ने चोरी हुए authentication tokens को ठीक से replace नहीं किया
- हमलावर के email में कहा गया कि Internet Archive को कुछ हफ्ते पहले breach का पता चलने के बाद भी उसने GitLab secrets में exposed कई API keys को rotate नहीं किया
- हमलावर ने बताया कि Zendesk token में 2018 से info@archive.org पर भेजे गए 8 लाख से अधिक support tickets तक access rights हैं
- उस email header ने DKIM, DMARC, SPF authentication checks सभी पास किए, और पुष्टि हुई कि वह 192.161.151.10 के authorized Zendesk server से भेजा गया था
Support ticket attachments के exposed होने की संभावना
- कुछ users को Wayback Machine से pages हटाने का अनुरोध करते समय personal ID upload करनी पड़ती थी
- अगर हमलावर ने Zendesk API access के जरिए support tickets download किए, तो वह उन attachments तक भी पहुंचा हो सकता है
- Zendesk में ticket attachments देखने के लिए API है, और असल exposure का दायरा हमलावर के API permissions और उसके उपयोग पर निर्भर करता है
GitLab token exposure और पहले का हमला
- 9 अक्टूबर को Internet Archive ने इसी अवधि में दो तरह के हमले झेले
- site users के 3.3 करोड़ records चोरी होने वाली data breach
- खुद को pro-Palestinian बताने वाले SN_BlackMeta group का DDoS attack
- दोनों हमले एक ही समय-सीमा में हुए, लेकिन उन्हें अलग-अलग attackers ने अंजाम दिया
- कई media outlets ने data breach के पीछे SN_BlackMeta को गलत तरीके से बताया, लेकिन वास्तविक data breach attacker ने अलग से BleepingComputer से संपर्क कर attack method समझाया
- शुरुआती breach Internet Archive के development server services-hls.dev.archive.org पर exposed GitLab configuration file से शुरू हुआ
- पुष्टि हुई कि संबंधित GitLab token कम से कम दिसंबर 2022 से exposed था, और बाद में इसे कई बार rotate किया गया
Source code से मिला अतिरिक्त access
- हमलावर ने बताया कि GitLab configuration file के authentication token से Internet Archive का source code download करना संभव था
- हमलावर ने दावा किया कि source code के अंदर उसे अतिरिक्त credentials और authentication tokens मिले
- इनमें Internet Archive के database management system credentials भी शामिल थे, जिनसे कथित तौर पर ये access संभव थे
- organization का user database download करना
- अतिरिक्त source code download करना
- site में modification करना
- हमलावर ने दावा किया कि उसने Internet Archive से 7TB data चुराया, लेकिन evidence sample share नहीं किया
- बाद में सामने आया कि चोरी हुए data में Internet Archive के Zendesk support system के लिए API access token भी शामिल था
बार-बार चेतावनी के बाद भी response gap बचा रहा
- BleepingComputer ने Internet Archive से कई बार संपर्क कर breach कैसे हुआ और motivation क्या था, यह share करने की पेशकश की
- सबसे हालिया संपर्क शुक्रवार को हुआ था, लेकिन कोई response नहीं मिला
- यह Zendesk breach हमलावर के इस दावे से जुड़ा है कि GitLab authentication token exposure के बाद related tokens को पर्याप्त रूप से replace नहीं किया गया
हमले की motivation और data circulation का जोखिम
- Internet Archive breach के बाद conspiracy theories फैलीं कि इसके पीछे Israel, अमेरिकी सरकार, या copyright disputes में शामिल companies थीं
- यह breach political या financial कारणों से ज्यादा इसलिए हुआ लगता है क्योंकि attacker इसे अंजाम दे सकता था
- stolen data trading communities में निम्न motivations मौजूद होती हैं
- victims को extort कर पैसे लेना
- data को दूसरे attackers को बेचना
- breach data collect करना
- public leak के जरिए cyber street cred हासिल करना
- Internet Archive एक जाना-माना और बहुत लोकप्रिय website है, इसलिए यह attacker की reputation बढ़ाने में मदद करता है
- किसी ने भी publicly इस breach का दावा नहीं किया, लेकिन बताया गया है कि attacker ने दूसरों के साथ group chat में breach किया और कई लोगों को चोरी हुए data का कुछ हिस्सा मिला
- यह database breach-data communities में trade हो रहा हो सकता है, और भविष्य में Breached जैसे hacking forums पर मुफ्त में leak हो सकता है
1 टिप्पणियां
Hacker News की राय
Internet Archive जैसी परोपकारी सेवा पर हमला करने वाले threat actors को देखना सचमुच दुखद है। इस तरह का पीछे ले जाने वाला व्यवहार मनोबल तोड़ता है
“आप सामान्य सवाल पूछना चाहते थे, या Wayback Machine से कोई साइट हटाने का अनुरोध करना चाहते थे, आपका डेटा अब किसी अनजान व्यक्ति के हाथ में है। अगर मैं नहीं होता, तो कोई और होता।”
इसलिए यह सोचने पर मजबूर करता है कि इतने महत्वपूर्ण काम की जिम्मेदारी सिर्फ एक संगठन पर नहीं होनी चाहिए—इस बात में दम है
यह दिखाने के लिहाज से कि बहुत सारी व्यक्तिगत पहचान योग्य जानकारी संभालने वाला एक बड़ा संगठन सुरक्षा की बिल्कुल परवाह नहीं करता, यह एक तरह से जनहित का काम भी है
आपराधिक कृत्य बस आपराधिक कृत्य है। बहुत सारे visitors खींचने वाली जगहों को सही security रखनी चाहिए, ताकि उनके customers शिकार न बनें
इससे भी बुरा हो सकता था
जिसके पास information security की मजबूत समझ है, उसके लिए अच्छे उद्देश्य के लिए मुफ्त में विशेषज्ञता देने का यह अच्छा मौका है
Library of Congress को internet को preserve करना चाहिए, और इसके लिए उसका budget भी होना चाहिए
यह “Library of Congress” के mission से भी मेल खाता है। किसी खास समय पर internet पर क्या था, इसका सटीक record होना internet से जुड़े कानून या regulation पर चर्चा करते समय मददगार है
Wikipedia[2] के अनुसार यह Heritrix और Wayback पर आधारित है, और दोनों Internet Archive ने विकसित किए हैं। blog post भी “Wayback software” का उल्लेख करता है। मौजूदा preserved material यहां देखा जा सकता है: http://webarchive.loc.gov/
[0] https://www.loc.gov/programs/web-archiving/about-this-progra...
[1] https://blogs.loc.gov/thesignal/2023/08/the-web-archiving-te...
[2] https://en.m.wikipedia.org/wiki/List_of_Web_archiving_initia...
distributed storage आधारित archive की जरूरत है। मैं Internet Archive के काम को पसंद और समर्थन करता हूँ, लेकिन इतिहास को preserve करना इतना महत्वपूर्ण है कि उसे सिर्फ एक संगठन, यानी single point of failure, पर छोड़ना ठीक नहीं
IA ने भी storage को distribute करने की कोशिश की थी, लेकिन जितने लोगों ने बातों में कहा था, उतनों ने वास्तव में अपना storage space नहीं दिया
https://www.lockss.org/
यह randomized consensus protocol पर निर्भर एक बेहतरीन system है। मैं इसे information security paper का topic बनाना चाहता था, लेकिन इसका security model इतना अच्छी तरह design किया गया था कि मेरे पास जोड़ने लायक कुछ नहीं था
जब अलग-अलग data को हमेशा अलग reference मिलें, तो यह जानना आसान होता है कि backup पर्याप्त है या नहीं। अगर एक ही नाम अलग-अलग परिस्थितियों में लिए गए snapshots के ढेर की ओर इशारा करे, तो यह तय करना मुश्किल हो जाता है कि उस नाम के लिए हमें वास्तव में क्या backup करना है
data बड़ा है, लेकिन Archive.org जितना बड़ा नहीं: https://libgen.is/repository_torrent/. फिर भी ऐसे distributed nodes के लिए funding चाहिए, और मुख्य उद्देश्य resilience लगता है
लेकिन जब IA समेत कुछ archive teams से पूछा कि क्या वे इसे इस्तेमाल करना चाहेंगी, तो कोई जवाब नहीं मिला या सिर्फ नकारात्मक जवाब मिले
किसी को पता है कि Internet Archive को कौन और क्यों निशाना बना रहा है? यह सिर्फ शरारती तोड़फोड़ करने वालों जैसा मानने के लिए हमला बहुत sophisticated लगता है
ऊपर से उसका मुख्य मिशन डेटा फैलाना है, मुनाफा कमाने के लिए डेटा छिपाना नहीं
जिन्हें नमकदानी वाली उपमा नहीं पता, उनके लिए प्राचीन ज्ञान का मूल पाठ:
https://web.archive.org/web/20060619131835/http://xelios.liv...
अनुवाद कोई भी चुन लें:
https://malaya-zemlya.livejournal.com/697779.html
https://personal-view.com/talks/discussion/25915/humor-hacke...
https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
शुरुआत से ही अगर वे मानते रहे हों कि उन्हें निशाना बनाने की कोई खास वजह नहीं है और security को लेकर काफी ढीले रहे हों, तो हैरानी नहीं होगी
हर कोई अपने हिसाब से अधिक ठोस निष्कर्ष निकाल सकता है, लेकिन मुझे इसमें सरकारी agency की गंध काफी आती है
उनका funding model कैसा है, पता नहीं, लेकिन अगर cash है तो मेरी नजर में security team hiring सबसे पहली investment priority होनी चाहिए
कौन-सा vandal library पर हमला करता है? जिम्मेदार लोगों को वाकई ढूंढना चाहिए
दुखद वास्तविकता यह है कि internet पर बहुत से लोग गलत तरीके से attack झेलते हैं, और investigation focus तथा resources की कमी की वजह से उनमें से काफी लोग सजा से बच जाते हैं
कल्पना कीजिए ऐसी दुनिया की, जहां जब भी Wayback Machine snapshot किसी मुकदमे में मदद करे, lawyers IA को कुछ dollars भेजें। तब वे जल्द ही world-class admin team afford कर पाएंगे
अगर अतीत में किसी webpage की स्थिति महत्वपूर्ण है, तो ऐसा record चाहिए जो सामने वाला request करे तो गायब न हो जाए। perma.cc का concept यही है
मैंने लगभग 1 साल पहले resume भेजा था, लेकिन कल तक कोई जवाब नहीं आया। लगता है वे अब pending applications खंगालकर मदद ढूंढ रहे हैं
उन सभी लोगों से जो सोचते हैं कि IA से बेहतर alternative चाहिए, या कोई दूसरा solution है, या कोई दूसरी organization इसे चलाए: कोई भी competitive alternative बनने से रोक नहीं रहा
IA ने जो काम पहले से किया और share किया है, उसकी वजह से starting point भी आगे है, तो खुद कोशिश करके देख लें