互联网档案馆再次遭到入侵，攻击者通过窃取的 GitLab 身份验证令牌入侵了其 Zendesk 电子邮件支持平台。

互联网档案馆 是通过 Zendesk 泄露的，用户在多次发出警报后收到了有关令牌轮换不当导致 GitLab 令牌被盗的警告。

BleepingComputer 首先报道了这一事件的消息，因为它收到了一些人的信息，这些人收到了对其旧的互联网档案馆移除请求的回复，警告说该组织再次被入侵，因为他们没有正确轮换被盗的身份验证令牌。

威胁行为者发送的互联网档案 Zendesk 电子邮件
来源：BleepingComputer BleepingComputer

该邮件凸显了互联网档案馆糟糕的安全态势。尽管在几周前就得到了通知，但该组织未能轮换暴露的 API 密钥，尤其是可以访问 800,000 多张支持票据的 Zendesk 令牌，这反映出其事件响应不力。糟糕的网络卫生状况增加了进一步数据泄露的风险，并可能破坏用户的信任。

这些电子邮件是由授权的 Zendesk 服务器（192.161.151.10）发出的。

根据攻击者的 Zendesk API 访问权限，用户上传的用于 Wayback Machine 页面删除请求的个人身份证明文件可能会被泄露。

10 月 9 日，Internet Archive 的 “The Wayback Machine ”遭遇数据泄露，威胁者获取了包含 3100 万用户数据的用户数据库。

入侵该热门网站的威胁者与数据泄露通知服务机构 Have I Been Pwned data 共享了一份被盗数据的副本。

HIBP 证实，被盗档案中有 3100 万条记录，包括电子邮件地址、网名、bcrypt 密码哈希值和密码更改的时间戳。HIBP 补充说，54% 的被盗记录已经在其平台上。

特洛伊-亨特（Troy Hunt）告诉 BleepingComputer，互联网档案馆泄露的文件是一个名为 “ia_users.sql ”的 6.4GB SQL 文件。

亨特注意到，数据库记录的最新时间戳是 2024 年 9 月 28 日，这很可能就是数据外泄的日期。Hunt 将很快把受影响用户的信息添加到 HIBP 中。

Hunt 还验证了被盗档案中信息的真实性。

互联网档案馆创始人布鲁斯特-卡勒（Brewster Kahle）也证实，该平台遭到了 DDoS 攻击，网站多次下线。

BleepingComputer 将这次攻击归咎于一个名为 SN_BlackMeta 的亲巴勒斯坦组织。

Internet Archive 数据泄露事件的起因是一名威胁者在该组织的一台开发服务器上发现了一个暴露的 GitLab 配置文件。该文件包含一个身份验证令牌，允许攻击者下载互联网档案馆的源代码，其中包括其他凭据和令牌。然后，攻击者使用这些凭证访问档案馆的数据库管理系统、用户数据库和更多源代码，甚至修改网站。黑客声称窃取了 7TB 的敏感数据，包括用于电子邮件支持系统的 Zendesk API 标记。被暴露的令牌自 2022 年 12 月起就一直可用，据说此后还进行了多次轮换。

尽管有这样的说法，但攻击者并没有分享被盗数据的证据，不过 BleepingComputer 证实了被暴露的 GitLab 验证令牌和对包含个人信息的 Zendesk 支持票据的访问权限。

黑客称，这些源代码包含其他凭据和身份验证令牌，包括 Internet Archive 数据库管理系统的凭据。这使得威胁者可以下载该组织的用户数据库、更多源代码并修改网站。

威胁者声称从互联网档案馆窃取了 7TB 的数据，但不愿分享任何样本作为证据。

不过，现在我们知道，被盗数据还包括互联网档案馆 Zendesk 支持系统的 API 访问令牌。

目前，还没有人声称对此次安全漏洞事件负责。专家警告说，被盗信息正在地下网络犯罪组织中流传，其他威胁者可以利用这些信息实施其他攻击。