ハッキング被害を受けたInternet Archiveのメールアカウントが不正利用されユーザーに「あなたのデータはすでに別の第三者に渡っています」とのメッセージを送信

Wayvback Machineなどを運営するInternet Archiveは2024年10月9日にハッキング被害を受け、3100万人以上のユーザーデータが漏えいしたことが報じられています。さらにハッカーはユーザーがサポートチケットにアクセスするためのZendeskトークンを盗んだと主張し、これまでサポートを求めたユーザーに対しInternet Archiveのメールアカウントを装ってメッセージを送信しています。

Internet Archive breached again through stolen access tokens
https://www.bleepingcomputer.com/news/security/internet-archive-breached-again-through-stolen-access-tokens/

The Internet Archive hackers still have access to its internal emailing tools - The Verge
https://www.theverge.com/2024/10/20/24274826/internet-archive-hackers-replying-zendesk-tickets

2024年10月9日に発生したInternet Archiveに対するサイバー攻撃は、ある開発サーバーでInternet Archiveのソースコードをダウンロードするための認証コードを含むGitLab構成ファイルが公開されていたことに端を発します。海外メディアのBleepingComputerによると、この構成ファイルは少なくとも2022年12月から公開されており、ハッカーによって構成ファイルが盗まれた結果、悪意のある人物はInternet Archiveのユーザーデータベースをダウンロードできるだけでなく、独自のソースコードを追加し、サイトを変更することができるとのこと。

この攻撃によって流出したユーザーデータは相当な数に上り、個人情報が流出しているかどうかをチェックできるサービス「Have I Been Pwned?」は「Internet Archiveで、メールアドレスや名前、bcryptでハッシュ化されたパスワードを含む3100万件のデータが侵害されました。54％はすでに『Have I Been Pwned?』に存在します」と述べていました。

Internet Archiveがハッキングされて3100万人のユーザーデータが漏えい - GIGAZINE

今回盗まれたデータには、ユーザーがInternet Archiveに対してサポートを求める際に必要なチケットを発行するZendeskサポートシステムのAPIアクセストークンも含まれており、ハッカーはかつてInternet Archiveにサポートを求めたユーザーに対し、Internet Archiveのサポートチームのメールアカウントを使って「今回入手したデータには、2018年以降に『[email protected]』に送信された80万件以上のサポートチケットにアクセスするための権限を持つZendeskトークンが含まれています。Internet Archiveに対し、一般的な質問をしようとしていた場合でも、Wayback Machineからサイトの削除を依頼していた場合でも、あなたのデータはすでに別の第三者に渡っています」と主張するメッセージを送信しています。

BleepingComputerによると、このメッセージはDKIM、DMARC、SPFのすべての認証チェックに合格しており、192.161.151.10の認定Zendeskサーバーから送信されたことを証明しているとのこと。

Internet Archiveの創設者であるブリュースター・ケール氏は「我々は24時間体制でサイトのセキュリティ向上に努めており、より安全なInternet Archiveのサービス再開に取り組んでいます。今後数日のうちに多くのサービスが再開されますが、完全な復旧には時間がかかる見込みです。私たちは防御の再構築と強化のために、慎重なアプローチを取っています。私たちの最優先事項は、Internet Archiveがより強力で安全にオンラインになることを保証することです」と述べています。