Nuovo attacco hacker ai danni dell’Internet Archive (IA), la più grande libreria digitale al mondo. E questo nonostante le ripetute segnalazioni sulla necessità di proteggere meglio i propri sistemi. Principale bersaglio stavolta è la piattaforma di supporto per le email Zendesk, in particolare i ticket di assistenza, che contengono informazioni personali degli utenti, inclusi dati legati a richieste di rimozione dal servizio Wayback Machine.
Internet Archive di nuovo sotto attacco hacker: è il terzo in un mese
Per IA il mese di ottobre è un vero e proprio inferno, constatando che questo è il secondo, se non il terzo attacco in meno di 30 giorni. Ricordiamo infatti che a inizio mese il sito di Internet Archive ha subìto una violazione massiccia che ha esposto i dati di 33 milioni di utenti. Per la precisione, sono stati ben due attacchi distinti:
- una violazione dei sistemi, che ha permesso di entrare in possesso dei dati di ben 33 milioni di utenti;
- un attacco DDoS da parte di un presunto gruppo chiamato SN_BlackMeta.
Sembrerebbe che il criminale dietro questi attacchi sia lo stesso. Appunto, “sembrerebbe”. Tempo dopo, come riporta il sito di informazione Wired, i criminali responsabili hanno scritto al sito specialistico Bleeping Computer per rivendicare l’attacco e spiegare come è successo. In pratica a dicembre 2022 i cybercriminali hanno trovato esposto su uno dei server di sviluppo di IA un file di configurazione contenente un token di autenticazione per scaricare il codice sorgente di Internet Archive.
Grazie a questa “negligenza”, i criminali sono riusciti a mettere le mani sui dati contenuti nei suoi sistemi, e a compiere quanto accaduto a inizio mese e oggi.
Nonostante le ripetute segnalazioni sull’urgenza di modificare i token API compromessi, riferisce Bleeping Computer, Internet Archive non ha ancora adottato le misure necessarie per mettere in sicurezza il proprio sistema. Questo ha portato a un nuovo attacco, che ha esposto migliaia di ticket di supporto inviati dal 2018 a oggi.
Dati ancora più sensibili in pericolo
La nuova violazione riguarda in particolare la piattaforma Zendesk utilizzata da Internet Archive per la gestione del supporto tecnico via email. Secondo quanto riportato dal sito specialistico, gli hacker sono riusciti ad accedere a oltre 800.000 ticket di assistenza inviati dagli utenti negli ultimi anni. Tra questi, sono inclusi anche ticket contenenti richieste di rimozione di pagine web dalla Wayback Machine, servizio che archivia versioni passate di siti web.
E oltre al danno anche la beffa. Sempre a Bleeping è giunta anche un’email, proveniente (forse) dallo stesso responsabile (o responsabili) dell’attacco:
“È sconfortante vedere che, nonostante sia stata informata della violazione due settimane fa, IA non ha ancora svolto la due diligence necessaria per ruotare molte delle chiavi API esposte nei propri segreti gitlab. Come dimostrato da questo messaggio, ciò include un token Zendesk con permessi di accesso a oltre 800.000 ticket di supporto inviati a info@archive.org dal 2018. Che tu stessi cercando di fare una domanda generica o di richiedere la rimozione del tuo sito dalla Wayback Machine, i tuoi dati sono ora nelle mani di un tizio a caso. Se non fossi io, sarebbe qualcun altro. Speriamo che ora si diano una mossa”.
A differenza di quanto inizialmente riportato da Bleeping Computer, i responsabili dell’attacco non sembrano avere motivazioni politiche o economiche. La violazione probabilmente è stata eseguita per “cyber street cred”, ovvero per guadagnare fama all’interno della comunità di hacker. A confermarlo sono stati gli stessi cybercriminali, che in una chat di gruppo hanno condiviso parte dei dati rubati con altri membri della comunità.
Le reazioni da parte di IA sono ancora oggi piuttosto lente e inadeguate. Dopo la prima violazione di ottobre, Bleeping Computer aveva più volte cercato di contattare l’organizzazione per avvisarla della necessità di aggiornare i token di autenticazione compromessi. Tuttavia, tali richieste sono al momento senza risposta.
