10月9日网际网路档案馆(Internet Archive),他们得知有些用户收到「来自网际网路档案馆团队」的电子邮件,内容提及在上一起资安事故2周后,网际网路档案馆对于所有被曝露在GitLab的API金钥,并未进行彻底轮替而持续曝险。
寄信人声称,根据他们发送的这封范例信,包含了IT服务台Zendesk的Token,他们能够借此存取自2018年寄出的逾80万笔工单资料。这样的讯息,显示寄信者实际上并非网际网路档案馆团队成员,这名寄信人强调,收信人的资料目前在某个不知名的人士手上。
值得留意的是,这些电子邮件标题全部通过DKIM、DMARC、SPF检验,代表确实从特定IP位址的Zendesk伺服器发出,使用者难以确认寄信人是否就是该网站的团队,还是另有其人。
收到这类信件的人士向Bleeping Computer表示,他们要求删除时光机(Wayback Machine)特定网页内容时,必须上传个人身分证明资料,但这些个资很有可能已经被攻击者掌握。
攻击者向Bleeping Computer透露,他们最初对该网站发动攻击的原因,在于从网际网路档案馆的开发伺服器当中,找到曝露GitLab组态的档案而得逞,他们借此取得Token通过身分验证,下载整个网站的原始码。
而对于原始码的内容,他们宣称,当中有该网站资料库管理系统帐密资料,使得攻击者能够下载整个组织的使用者资料库,并能窜改网站内容。
该新闻网站进一步确认,攻击者找到的Token资料至少从2022年12月就已经曝光,而且,此Token迄今已被轮用多次。
回顾10月9日这天,网际网路档案馆的网站就已传出至少2起攻击事故,其中一起是HIBP创办人Troy Hunt于6日通报的资料外泄,另一起则是巴勒斯坦骇客组织SN_BlackMeta发动的DDoS攻击,Bleeping Computer指出,这两起事故由不同人马所为。