
インターネットアーカイブの「ウェイバック マシン」は、脅威アクターが Web サイトに不正アクセスし、3,100 万件のレコードを含むユーザー認証データベースをハッキングされ個人情報が漏洩しました。その後の復旧作業中に脅威アクターが公開された GitLab 認証トークンを盗んだという声明を発表し、さらにZendesk の電子メール サポート プラットフォームで犯行声明を発表しました。
インターネットアーカイブのハッキングとDDoS攻撃について
インターネットアーカイブの「ウェイバック マシン」は、脅威アクターが Web サイトに不正アクセスし、3,100 万人のユーザー名、電子メールアドレス、パスワードハッシュ情報などの個人情報が漏えいしました。
さらにその後、DDoS攻撃を受けておりこの2つのインシデントにより Wayback Machine を含む、インターネット アーカイブのほとんどのサービスが停止されました。
今回は上記2つのインシデントによる復旧作業中に新たに発生したサイバー攻撃となります。
復旧作業中に新たなサイバー攻撃
インターネットアーカイブの創設者ブリュースター・カーレ氏は10月17日に公開したブログ記事で、ウェイバックマシン、アーカイブイット、スキャン、クロール、電子メール、ヘルプデスク、ブログ、ソーシャルメディアの通信が復旧したと述べ、同氏は他のサービスも数日以内にオンラインに戻る予定だと発表した。
しかし、過去にインターネット アーカイブのサポートに問い合わせた多くのユーザーが、新たな犯行声明と思われる通知するメールを受け取りました。
ハッカーがインターネットアーカイブへ新たな犯行声明
画像引用:BleepingComputer
侵害された Zendesk トークンを悪用した者によって送信されたと思われるこのメールには、
「2 週間前に侵害を認識した後も、IA が GitLab のシークレットで公開された多くの API キーをローテーションするデューデリジェンスをまだ行っていないのは残念です」
「このメッセージで示されているように、これには2018年以降にinfo@archive.orgに送信された80万件以上のサポートチケットにアクセスする権限を持つZendeskトークンが含まれています」
「一般的な質問をしようとしていたとしても、Wayback Machineからサイトを削除するよう要求していたとしても、あなたのデータは今や見知らぬ人の手に渡っています。私でなければ、他の誰かでしょう。」
全てのサイバー攻撃で実行者は不明
一部では、BlackMeta(別名SN_BlackMetaまたはDarkMeta)が攻撃を実行したという説もありますが、今のところ全てのセキュリティインシデントの原因となったサイバー攻撃者は明らかになっていません。