Internet Archive Sufre Ciberataques, Hackers Envían Correos Electrónicos

Internet Archive, una conocida biblioteca digital sin fines de lucro y hogar de la Máquina del Tiempo (Wayback Machine), ha sido recientemente el objetivo de múltiples ciberataques, lo que ha provocado importantes interrupciones en el servicio para los usuarios.

En un nuevo desarrollo, la organización sufrió una violación en su plataforma de soporte por correo electrónico Zendesk. Esta brecha ocurrió después de repetidas alertas sobre el robo de tokens de autenticación de GitLab expuestos por actores malintencionados, como informó BleepingComputer (BC).

El domingo por la mañana, The Verge informó haber recibido un correo electrónico del “Equipo de Internet Archive” en respuesta a una consulta que enviaron el 9 de octubre.

Sin embargo, parece que este correo electrónico no fue enviado por el equipo de soporte oficial, sino que fue redactado por los hackers que previamente habían comprometido el sitio, sugiriendo que todavía mantienen acceso a los sistemas de la organización.

Los usuarios en el subreddit de Internet Archive también han reportado recibir respuestas similares, aumentando las preocupaciones sobre la seguridad.

BC también informó que recibió numerosos mensajes de usuarios que fueron alertados sobre la violación a través de respuestas a sus antiguas solicitudes de eliminación. Muchas de estas notificaciones advertían que Internet Archive no había rotado eficazmente los tokens de autenticación robados.

Un correo electrónico del hacker a BC expresó decepción, declarando, “Es desalentador ver que incluso después de haber sido informado del incumplimiento hace semanas, IA aún no ha realizado la diligencia debida de rotar muchas de las claves API que fueron expuestas en sus secretos de gitlab.”

La semana pasada, los hackers violaron la seguridad del Internet Archive, filtrando información sensible perteneciente a millones de usuarios y desfigurando el sitio con un mensaje burlándose de la organización por operar con un presupuesto limitado, señaló The Washington Post.

Para mitigar más filtraciones, el equipo de Internet Archive decidió cerrar el sitio, incluyendo la ampliamente utilizada Wayback Machine, según lo señalado por The Post.

El fundador Brewster Kahle reveló que esta fue la primera vez en casi 30 años que el sitio experimentó una interrupción que duró más de unas pocas horas, señaló The Post.

BC afirma que había informado previamente que Internet Archive sufrió ataques simultáneos la semana pasada: una violación de datos que afectó los datos de usuario de 33 millones de cuentas y un ataque de Denegación de Servicio Distribuido (DDoS) orquestado por un grupo llamado SN_BlackMeta.

Aunque ambos incidentes ocurrieron durante el mismo lapso de tiempo, fueron ejecutados por diferentes actores de amenazas. Muchos medios de comunicación atribuyeron erróneamente la violación de datos a SN_BlackMeta, confundiendo los dos ataques, señaló BC.

Esta tergiversación frustró al verdadero autor de la violación de datos, instándoles a ponerse en contacto con BC. Asumieron la responsabilidad de la violación y proporcionaron detalles sobre cómo infiltraron el Archivo de Internet.

Según los atacantes, la violación se originó al descubrir un archivo de configuración de GitLab expuesto en uno de los servidores de desarrollo de la organización. BC confirmó que este token había estado disponible públicamente desde al menos diciembre de 2022, habiendo sido rotado varias veces desde entonces.

Los hackers afirmaron que este archivo de configuración de GitLab contenía un token de autenticación que les permitió descargar el código fuente del Archivo de Internet, que a su vez incluía más credenciales y tokens de autenticación, incluyendo los del sistema de gestión de bases de datos de la organización.

Este acceso les permitió descargar la base de datos de usuarios, código fuente adicional, e incluso modificar el sitio. Aseguraron que robaron 7TB de datos del Archivo de Internet, pero no proporcionaron muestras como prueba, según informó BC.

Ahora se ha confirmado que los datos robados también incluían tokens de acceso a la API para el sistema de soporte Zendesk del Internet Archive. BC dijo que intentó contactar al Internet Archive varias veces, la más reciente el viernes, para discutir la violación y sus implicaciones, pero no recibió respuesta.

Según The Verge, el equipo de Internet Archive está trabajando a todas horas, a través de diferentes zonas horarias, para restaurar los servicios. En una entrada de blog fechada el 17 de octubre, Kahle indicó que el sitio anticipa la vuelta de más servicios en los “próximos días”, aunque inicialmente en modo de solo lectura, ya que la restauración completa puede llevar más tiempo.

Las razones detrás de los recientes ciberataques al sitio permanecen inciertas, dice The Verge. Forbes sugiere que la motivación detrás de estas violaciones parece ser reputacional más que financiera.

The Post señaló que el Archivo de Internet ha enfrentado desafíos legales en el pasado, incluyendo demandas de editoriales de libros y sellos musicales por digitalizar material con derechos de autor, lo cual la organización sostiene es permisible para fines de archivo no comerciales.

The Post informa que Kahle advirtió que las posibles sanciones derivadas de estas demandas, que podrían ascender a cientos de millones de dólares, representan una amenaza significativa para la supervivencia del Internet Archive.

Mientras estas demandas están en curso, el Internet Archive ahora enfrenta el desafío dual de gestionar disputas legales y contrarrestar amenazas cibernéticas.

La organización experimentó previamente un ataque DDoS en mayo, lo que provocó interrupciones intermitentes. Kahle mencionó a The Post que esta fue la primera vez en la historia del sitio que fue objeto de un ataque.