El Internet Archive ha enfrentado recientemente una grave vulneración en su plataforma de soporte por correo electrónico Zendesk, tras repetidas advertencias sobre el robo de tokens de autenticación de GitLab expuestos. Desde la noche anterior, BleepingComputer ha recibido numerosos informes de personas que recibieron respuestas a solicitudes anteriores de eliminación, notificándoles sobre la violación de seguridad.
La gravedad del incidente
Los mensajes recibidos indican que la organización no rotó adecuadamente sus tokens de autenticación robados. En uno de los correos electrónicos, un actor de amenazas señaló: «Es desalentador ver que, a pesar de haber sido informado de la violación hace semanas, Internet Archive aún no ha realizado la debida diligencia para rotar muchas de las claves API que fueron expuestas en sus secretos de GitLab». Este mensaje incluía un token de Zendesk con permisos para acceder a más de 800,000 tickets de soporte enviados desde 2018, lo que implica que datos sensibles de usuarios están ahora en manos desconocidas.
Los encabezados de estos correos electrónicos superaron todas las verificaciones de autenticación DKIM, DMARC y SPF, confirmando que fueron enviados desde un servidor autorizado de Zendesk.
Acceso a datos sensibles
Además, un destinatario de estos correos indicó a BleepingComputer que se le solicitó cargar una identificación personal al solicitar la eliminación de una página de la Wayback Machine, lo que sugiere que el actor de amenazas podría haber accedido a estos archivos adjuntos, dependiendo de su acceso a la API de Zendesk.
Este ataque se produce después de que se informara que el Internet Archive había sido víctima de dos ataques simultáneos, uno de los cuales implicaba la violación de datos que comprometió la información de 33 millones de usuarios. A pesar de que ambos ataques ocurrieron en el mismo periodo, se llevaron a cabo por diferentes actores de amenazas.
El hallazgo del token expuesto
Un actor de amenazas se puso en contacto con BleepingComputer para reclamar crédito por la violación de datos, afirmando que comenzó cuando encontraron un archivo de configuración de GitLab expuesto en uno de los servidores de desarrollo de Internet Archive. Este token ha estado expuesto desde al menos diciembre de 2022, lo que permitió al atacante descargar el código fuente del Internet Archive y obtener credenciales adicionales, incluidas las del sistema de gestión de bases de datos.
Se alega que el actor de amenazas robó 7 TB de datos, aunque no se han proporcionado pruebas. Los datos robados también incluían tokens de acceso a la API para el sistema de soporte Zendesk, lo que aumenta aún más la gravedad de la situación.
La dinámica de los ataques cibernéticos
Tras la vulneración, han surgido teorías conspirativas sobre las motivaciones detrás del ataque, sugiriendo que podría haber estado impulsado por factores políticos o corporativos. Sin embargo, la realidad es que el ataque fue impulsado por la oportunidad y la habilidad del actor de amenazas.
En el ámbito del cibercrimen, existe una comunidad activa que trafica con datos robados, ya sea por lucro o para ganar credibilidad cibernética. A través de estos ataques, los actores buscan aumentar su reputación entre otros en la comunidad de cibercriminales.
Aunque nadie ha reivindicado públicamente esta violación, se ha informado que ocurrió mientras el actor de la amenaza estaba en un chat grupal con otros, quienes posiblemente recibieron algunos de los datos robados. Se cree que la base de datos ahora está siendo comercializada en la comunidad de violación de datos y podría aparecer en foros de piratería en el futuro.
