Internet Archive drabbas av cyberattacker, hackare skickar e-postmeddelanden

Internet Archive, ett välkänt icke-vinstdrivande digitalt bibliotek och hem till Wayback Machine, har nyligen varit måltavla för flera cyberattacker, vilket har lett till betydande störningar i servicen för användare.

I en ny händelseutveckling drabbades organisationen av ett intrång på sin Zendesk e-poststödsplattform. Detta intrång inträffade efter upprepade varningar om stöld av exponerade GitLab-autentiseringstokens av illvilliga aktörer, som rapporterades av BleepingComputer (BC).

På söndag morgon rapporterade The Verge att de mottagit ett mejl från ”The Internet Archive Team” som svar på en förfrågan de skickade den 9 oktober.

Det verkar dock som att detta mejl inte skickades av det officiella supportteamet utan snarare författades av de hackare som tidigare hade komprometterat webbplatsen, vilket tyder på att de fortfarande har tillgång till organisationens system.

Användare på Internet Archive subreddit har också rapporterat att de fått liknande svar, vilket ökar oron kring säkerheten.

BC rapporterade också att de fått många meddelanden från användare som blivit varnade för intrånget genom svar på deras gamla borttagningsförfrågningar. Många av dessa notifikationer varnade för att Internet Archive inte effektivt hade roterat de stulna autentiseringstoken.
Ett mejl från hackaren till BC uttryckte besvikelse och sa, ”Det är nedslående att se att trots att de blev medvetna om intrånget för flera veckor sedan, har IA fortfarande inte gjort den nödvändiga kontrollen av att byta ut många av API-nycklarna som exponerades i deras gitlab-hemligheter.”

Förra veckan bröt sig hackare in i Internet Archive och läckte känslig information tillhörande miljontals användare och skämde ut webbplatsen med ett meddelande som hånade organisationen för att verka på en begränsad budget, noterade The Washington Post.

För att förhindra ytterligare läckor bestämde Internet Archive’s team att stänga ner webbplatsen, inklusive den allmänt använda Wayback Machine, som The Post noterade.

Grundaren Brewster Kahle avslöjade att detta var första gången på nästan 30 år som webbplatsen upplevde ett avbrott som varade mer än bara några timmar, noterade The Post.

BC hävdar att de tidigare rapporterat att Internet Archive utsattes för samtidiga attacker förra veckan: ett dataintrång som påverkade användardata för 33 miljoner konton och en distribuerad överbelastningsattack (DDoS) orkestrerad av en grupp som kallas SN_BlackMeta.

Även om båda incidenterna inträffade under samma tidsram, utfördes de av olika hotaktörer. Många nyhetskanaler tillskrev felaktigt dataintrånget till SN_BlackMeta, vilket sammanblandade de två attackerna, noterade BC.

Denna felaktiga framställning frustrerade den faktiska förövaren av dataintrånget, vilket fick dem att ta kontakt med BC. De tog på sig ansvaret för intrånget och gav detaljer om hur de infiltrerade Internetarkivet.

Enligt angriparna, kom intrånget ursprungligen från upptäckten av en exponerad GitLab-konfigurationsfil på en av organisationens utvecklingsservrar. BC bekräftade att detta token hade varit offentligt tillgängligt sedan minst december 2022, och hade roterats flera gånger sedan dess.

Hackergruppen hävdade att denna GitLab-konfigurationsfil innehöll en autentiseringstoken som gav dem möjlighet att ladda ner Internet Archives källkod, vilken i sin tur inkluderade ytterligare referenser och autentiseringstokens, inklusive de för organisationens databashanteringssystem.

Denna åtkomst tillät dem att ladda ner användardatabasen, ytterligare källkod, och även modifiera webbplatsen. De påstod att de stal 7TB data från Internet Archive men tillhandahöll inte prover som bevis, som rapporterades av BC.

Det har nu bekräftats att den stulna datan också inkluderade API-åtkomsttokens för Internet Archives Zendesk-supportsystem. BC sa att de försökte kontakta Internet Archive flera gånger, senast på fredag, för att diskutera intrånget och dess konsekvenser, men fick inget svar.

Enligt The Verge arbetar Internet Archive-teamet dygnet runt över tidszoner för att återställa tjänster. I ett blogginlägg daterat den 17 oktober, indikerade Kahle att webbplatsen förväntar sig att återställa fler tjänster under de ”kommande dagarna”, även om det initialt kommer att vara i läsbara läget eftersom fullständig återställning kan ta ytterligare tid.

Anledningarna till de senaste cyberattackerna mot webbplatsen är fortfarande oklara, säger The Verge. Forbes antyder att motivationen bakom dessa intrång tycks vara ryktesbaserad snarare än finansiell.

The Post noterade att Internet Archive tidigare har stått inför juridiska utmaningar, inklusive stämningar från bokförlag och musikbolag över digitalisering av upphovsrättsskyddat material, vilket organisationen hävdar är tillåtet för icke-kommersiella arkivändamål.

The Post rapporterar att Kahle varnade för att de potentiella böterna från dessa stämningar, som kan uppgå till hundratals miljoner dollar, utgör ett betydande hot mot Internet Archives överlevnad.

Samtidigt som dessa stämningar pågår, står Internet Archive nu inför den dubbla utmaningen att hantera juridiska tvister och motverka cyberhot.

Organisationen utsattes tidigare för en DDoS-attack i maj, vilket ledde till periodiska avbrott. Kahle nämnde för The Post att detta var första gången i dess historia som webbplatsen var måltavlan.