A distanza di due settimane dal primo attacco DDoS, Internet Archive è ancora offline, mentre la Wayback Machine è accessibile in sola lettura. Nel weekend è stato segnalato un problema con il servizio di assistenza. BleepingComputer ha scoperto che tutto è nato dal furto del codice sorgente, a partire da un file pubblicato su GitLab.
Token di autenticazione rubati per Internet Archive
All’inizio del mese, Internet Archive ha subito due diversi attacchi, un data breach con il furto dei dati relativi a circa 33 milioni di utenti e un DDoS (Distributed Denial of Service). Contrariamente a quanto riportato dalla stampa specializzata, solo l’attacco DDoS è stato eseguito dal gruppo BlackMeta. Il vero autore del data breach ha contattato BleepingComputer per spiegare come ha avuto accesso ai dati degli utenti.
L’ignoto cybercriminale ha trovato su GitLab un file di configurazione di uno dei server di Internet Archive. Nel file era presente un token di autenticazione rimasto accessibile a tutti da fine dicembre 2022. Questo token ha permesso l’accesso al server e quindi il download del codice sorgente.
Nel codice sorgente c’erano altri token di autenticazione e credenziali che sono state usate per scaricare il database con i dati degli utenti e per modificare il sito. Il cybercriminale afferma di aver rubato 7 TB di dati, tra cui i token di accesso al sistema di supporto Zendesk, dal quale sono poi state inviate le false email di assistenza.
BleepingComputer ha cercato di contattare Internet Archive numerose volte, ma non ha mai ricevuto una risposta. Il data breach non è stato effettuato per motivi economici o politici, ma solo per guadagnare credibilità. Il cybercriminale ha quindi voluto solo aumentare la sua reputazione nel settore. Ad ogni modo, non è da escludere la pubblicazione del database su noti forum, ad esempio Breached.
Ti potrebbe interessare
21 ott 2024