Internet Archive est victime d’un nouveau piratage, 7 To de données dérobées

Le 9 octobre, des hackers ont ciblé Internet Archive et ont compromis les données personnelles de près de 31 millions d’utilisateurs du site avec une attaque DDoS, ainsi qu’une violation de données. Alors que les équipes s’efforçaient à résoudre les problèmes du site, un autre survient au niveau des tickets d’assistance.

Internet Archive : une défaillance liée à des jetons GitLab

Selon BleepingComputer, certaines personnes ayant soumis des requêtes d’assistance auprès d’Internet Archive ont reçu un mail du support exigeant une pièce d’identité pour supprimer le compte. Une œuvre d’un hakcer qui aurait piraté le service d’assistance par courriel Zendesk pour exploiter les tickets d’assistance. Ces derniers passent pourtant par tous les contrôles d’authentification DKIM, DMARC et SPF.

« Il est décourageant de voir que même après avoir été informé de la violation il y a quelques semaines, IA n’a toujours pas fait preuve de la diligence raisonnable en faisant tourner de nombreuses clés API qui ont été exposées dans leurs secrets Gitlab […] Que vous ayez essayé de poser une question générale ou de demander la suppression de votre site de la Wayback Machine, vos données sont désormais entre les mains d’une personne inconnue. Si ce n’était pas moi, ce serait quelqu’un d’autre », peut-on lire dans le mail du pirate.

De nombreux médias se sont précipités, accusant à tort le groupe SN_BlackMeta d’être derrière la récente fuite de données et l’attaque DDoS. Cependant, aucune revendication officielle n’a été faite à ce sujet.

L’équivalent de 7 To de données dérobées

Selon l’auteur de la cyberattaque, la violation avait commencé après la découverte d’un fichier de configuration GitLab exposé sur l’un des serveurs de développement de l’organisation, en l’occurrence, services-hls.dev.archive.org. Par ailleurs, BleepingComputer a confirmé que les jetons compromis peuvent dater de 2022 et que le pirate a pu dérober l’équivalent de 7 To de données.

Bien que les attaques aient pour but le gain de notoriété auprès de la communauté des cybercriminels, il n’y a aucun intérêt à essayer de pirater Internet Archive si ce n’est pour profiter des retombées médiatiques. Selon le site spécialisé, il n’est pas étonnant de retrouver les données compromises dans des forums de piratage, comme Breached, car le hacker a mentionné des conversations de groupes avec d’autres personnes ayant reçu également des data volées. La base de données peut donc très bien être échangée avec d’autres personnes entre temps.

Ces clarifications mettent un terme aux théories du complot suggérant que des gouvernements ou des entreprises aient œuvré contre le site. Aucune motivation politique ou financière n’a poussé l’auteur de l’attaque à compromettre la plateforme, d’avoir accès aux codes sources et de modifier le site.