Update 21/10/2024 – Het Internet Archive heeft, na de hack van begin oktober, opnieuw te maken met een securityincident. Na de nieuwe aanval startte de cybercrimineel een e-mailcampagne.
Verschillende gebruikers die contact hebben gehad met het Internet Archive kregen afgelopen weekend een e-mail. “Het is ontmoedigend om te zien dat IA, zelfs nadat ze weken geleden op de hoogte zijn gesteld van de inbreuk, nog steeds niet de nodige zorgvuldigheid heeft betracht om veel van de API-sleutels, die in hun GitLab-secrets waren blootgesteld, te roteren”, aldus de hacker in de e-mail. De cybercrimineel beweert dat hij via een Zendesk-token, dat toegang geeft tot meer dan 800.000 supporttickets, gebruikersdata heeft kunnen bemachtigen. Dit kan gaan om tickets met algemene vragen of verwijderverzoeken.
De e-mail slaagde erin om door alle authenticatiecontroles te komen, wat aantoont dat deze via een Zendesk-server is verzonden. Een ontvanger werd gevraagd bestanden te uploaden ter persoonlijke identificatie, zo meldde de gebruiker aan BleepingComputer. Afhankelijk van de toegang tot de API van Zendesk zou de hacker mogelijk ook toegang hebben tot de bijlagen.
Origineel – Hacker plaatst melding op Archive.org: “Heb je ooit het gevoel gehad dat het Internetarchief op niets draait en constant op het randje staat van een catastrofaal securitylek? Dat is zojuist gebeurd.”
Het Internet Archive trof maatregelen om de melding snel te verwijderen. Het plaatste een nieuw bericht waarin stond dat de site tijdelijk offline iss. Inmiddels is de website weer volledig operationeel. Opvallend genoeg meldde Brewster Kahle, de oprichter van Archive.org, tijdens de mitigatiestappen dat het platform werd getroffen door een DDoS-aanval. Achter deze aanval zou het hackerscollectief BlackMeta zitten.
De hacker had ondertussen 31 miljoen accountgegevens buitgemaakt. In zijn oorspronkelijke bericht verwees hij naar bewijs dat te vinden is op de website Have I Been Pwned, een database die kan worden gebruikt om te controleren of persoonlijke gegevens zijn gelekt. Veel kwaadwillenden delen gestolen data met Have I Been Pwned, zodat getroffen eindgebruikers op de hoogte kunnen worden gesteld.
Zichtbaar op Have I Been Pwned
Have I Been Pwned heeft het lek inmiddels aan BleepingComputer bevestigd. Meer dan een week geleden deelde de hacker een SQL-bestand van 6,4 GB met daarin authenticatie-informatie van geregistreerde leden, waaronder e-mailadressen, namen, tijdstempels van wachtwoordveranderingen en gehashte wachtwoorden.
De hack vond vermoedelijk plaats op 28 september, aangezien het laatste wachtwoord op die datum is gewijzigd. Het bestand bevat inderdaad 31 miljoen unieke e-mailadressen, bevestigt Have I Been Pwned. De data zal binnenkort aan de database worden toegevoegd, zodat gebruikers hun e-mailadres kunnen invoeren om te controleren of ze getroffen zijn.
Tip: Ticketverkoper van dierentuinen lekt bijna 2 miljoen persoonsgegevens