1P by GN⁺ | ★ favorite | 댓글 1개
  • Internet Archive는 앞선 데이터 침해와 DDoS 이후에도 노출된 인증 토큰 문제가 남아 있어, 이번에는 Zendesk 이메일 지원 시스템까지 침해됨
  • 공격자는 2018년 이후 info@archive.org로 접수된 80만 건 이상 지원 티켓에 접근 가능한 Zendesk 토큰을 확보했다고 밝혔고, 발송 이메일은 DKIM, DMARC, SPF 검사를 통과함
  • 초기 침해는 개발 서버의 GitLab 구성 파일에 노출된 토큰에서 시작됐으며, 해당 토큰은 최소 2022년 12월부터 노출돼 있었던 것으로 확인됨
  • 도난된 소스 코드에는 데이터베이스 관리 시스템 자격 증명과 추가 토큰이 포함돼, 사용자 데이터베이스와 사이트 수정 권한까지 접근됐을 가능성이 있음
  • 정치나 금전보다 cyber street cred 확보에 가까운 공격으로 보이며, 탈취 데이터가 침해 데이터 커뮤니티나 해킹 포럼에 유통될 위험이 남아 있음

Zendesk 지원 시스템까지 이어진 침해

  • Internet Archive는 이번에 Zendesk 이메일 지원 플랫폼을 통해 다시 침해됨
  • 과거 Internet Archive에 삭제 요청을 보냈던 여러 사용자가 답장을 받았고, 메시지는 조직이 도난된 인증 토큰을 제대로 교체하지 않았다고 경고함
  • 공격자 이메일에는 Internet Archive가 몇 주 전 침해를 인지한 뒤에도 GitLab secrets에 노출된 여러 API 키를 회전하지 않았다는 내용이 담김
  • 공격자는 Zendesk 토큰에 2018년 이후 info@archive.org로 전송된 80만 건 이상 지원 티켓 접근 권한이 있다고 밝힘
  • 해당 이메일 헤더는 DKIM, DMARC, SPF 인증 검사를 모두 통과했으며, 192.161.151.10의 승인된 Zendesk 서버에서 발송된 것으로 확인됨

지원 티켓 첨부 파일 노출 가능성

  • 일부 사용자는 Wayback Machine에서 페이지 삭제를 요청할 때 개인 신분증을 업로드해야 했음
  • 공격자가 Zendesk API 접근 권한으로 지원 티켓을 다운로드했다면, 해당 첨부 파일에도 접근했을 수 있음
  • Zendesk에는 티켓 첨부 파일을 조회하는 API가 있으며, 실제 노출 범위는 공격자가 가진 API 권한과 사용 여부에 따라 달라짐

GitLab 토큰 노출과 앞선 공격

  • 10월 9일 Internet Archive는 같은 시기에 두 가지 공격을 겪음
    • 사이트 사용자 데이터 3,300만 명이 도난된 데이터 침해
    • SN_BlackMeta라는 친팔레스타인 성향을 주장하는 그룹의 DDoS 공격
  • 두 공격은 같은 기간 발생했지만 서로 다른 공격자가 수행함
  • 여러 매체가 SN_BlackMeta를 데이터 침해 배후로 잘못 보도했지만, 실제 데이터 침해 공격자는 별도로 BleepingComputer에 연락해 공격 방식을 설명함
  • 초기 침해는 Internet Archive 개발 서버인 services-hls.dev.archive.org에 노출된 GitLab 구성 파일에서 시작됨
  • 해당 GitLab 토큰은 최소 2022년 12월부터 노출돼 있었고, 이후 여러 차례 회전된 것으로 확인됨

소스 코드에서 이어진 추가 접근

  • GitLab 구성 파일의 인증 토큰으로 Internet Archive의 소스 코드 다운로드가 가능했다고 공격자가 밝힘
  • 공격자는 소스 코드 안에서 추가 자격 증명과 인증 토큰을 찾았다고 주장함
  • 여기에는 Internet Archive의 데이터베이스 관리 시스템 자격 증명도 포함됐고, 이를 통해 다음 접근이 가능했다고 함
    • 조직의 사용자 데이터베이스 다운로드
    • 추가 소스 코드 다운로드
    • 사이트 수정
  • 공격자는 Internet Archive에서 7TB 데이터를 훔쳤다고 주장했지만, 증거 샘플은 공유하지 않음
  • 이후 도난 데이터에 Internet Archive의 Zendesk 지원 시스템용 API 접근 토큰도 포함된 것으로 드러남

반복 경고에도 남은 대응 공백

  • BleepingComputer는 Internet Archive에 여러 차례 연락해 침해 발생 방식과 동기를 공유하겠다고 제안함
  • 가장 최근 연락은 금요일이었지만 응답을 받지 못함
  • 이번 Zendesk 침해는 GitLab 인증 토큰 노출 이후 관련 토큰을 충분히 교체하지 않았다는 공격자 주장과 연결됨

공격 동기와 데이터 유통 위험

  • Internet Archive 침해 뒤에는 이스라엘, 미국 정부, 저작권 분쟁 중인 기업이 배후라는 음모론이 퍼짐
  • 이번 침해는 정치적 이유나 금전적 이유보다 공격자가 실행 가능했기 때문에 발생한 쪽에 가까워 보임
  • 도난 데이터 거래 커뮤니티에는 다음과 같은 동기가 존재함
    • 피해자를 갈취해 돈을 받기
    • 다른 공격자에게 데이터 판매
    • 침해 데이터 수집
    • 공개 유출로 cyber street cred 확보
  • Internet Archive는 잘 알려지고 매우 인기 있는 웹사이트라 공격자의 평판을 높이는 데 도움이 됨
  • 누구도 공개적으로 이번 침해를 주장하지 않았지만, 공격자는 다른 사람들과 그룹 채팅 중 침해를 수행했고 여러 사람이 탈취 데이터 일부를 받은 것으로 알려짐
  • 해당 데이터베이스는 침해 데이터 커뮤니티에서 거래되고 있을 가능성이 있으며, 향후 Breached 같은 해킹 포럼에 무료로 유출될 수 있음

댓글과 토론

Hacker News 의견들
  • Internet Archive처럼 이타적인 서비스를 공격하는 위협 행위자를 보는 건 정말 슬픔. 이런 퇴행적인 행동은 사기를 꺾음

    • 공격자를 두둔하려는 건 아니고, IA는 공공재라고 봄. 다만 이번 사례의 메시지 중 하나는 IA가 놓친 문제를 알려주려 한 것처럼도 읽힘
      “일반 질문을 하려 했든, Wayback Machine에서 사이트 삭제를 요청하려 했든, 당신의 데이터는 이제 어떤 임의의 사람 손에 있다. 내가 아니었으면 다른 누군가였을 것이다.”
      그래서 이렇게 중요한 일을 한 조직만 책임져서는 안 된다는 이야기에 일리가 있는지 생각하게 됨
    • 상상 속 재산권이라는 교리에 깊이 젖어 있고 그걸로 생계가 걸린 사람이 많으니, 아주 놀랄 일도 아님
    • 다르게 보면, IA를 침해하고도 공개적으로 알리며 시스템을 고치라고 요구하는 부류였다는 점에 감사해야 할 수도 있음. 다른 공격자라면 그냥 날려버리거나, 콘텐츠를 은밀히 바꾸거나, 상상 가능한 더 나쁜 일을 했을 수 있음
      많은 개인식별정보를 다루는 거대 조직이 보안을 전혀 신경 쓰지 않는다는 사실을 드러낸다는 점에서는 공익적 역할을 하는 셈임
    • 트래픽이 많은 곳은 무엇이든 표적이 됨. 그 조직이 무엇을 하느냐보다 잠재 도달 범위가 더 중요함
      범죄 행위는 그냥 범죄 행위임. 많은 방문자를 끌어들이는 곳은 고객이 피해자가 되지 않도록 제대로 보안을 갖춰야 함
    • 공격자는 거리의 명성만 노린 것 같고, 두 번째 침해는 IA가 첫 번째 침해 이후에도 제대로 고치지 않았다는 상기 신호처럼 보임
      더 나쁠 수도 있었음
  • 정보보안 지식이 탄탄한 사람이라면, 좋은 목적을 위해 무상으로 전문성을 제공할 좋은 기회임

    • 지금 그런 제안이 너무 많이 들어와서 파묻혀 있을 것 같음
    • 이쯤 되면 처음부터 재작성을 고려해야 함. 1992년쯤의 기술 스택을 돌리고 있을 것 같음
  • Library of Congress가 인터넷을 보존해야 하고, 그 일을 할 예산도 가져야 함
    “Library of Congress”라는 임무와도 맞음. 특정 시점에 인터넷에 무엇이 있었는지 정확한 기록을 갖는 건 인터넷 관련 입법이나 규제를 논의할 때 도움이 됨

  • 분산 저장소 기반의 아카이브가 필요함. Internet Archive의 작업을 좋아하고 지지하지만, 역사를 보존하는 일은 단일 조직, 곧 단일 장애 지점에만 맡기기엔 너무 중요함

    • 이런 글이 올라올 때마다 댓글에서 최소 한 번은 이 얘기가 나옴
      IA도 저장소를 분산하려고 시도했지만, 말만큼 실제로 자기 저장 공간을 내놓은 사람이 충분하지 않았음
    • “복사본이 많으면 자료가 안전하다”는 접근이 있음
      https://www.lockss.org/
      무작위 합의 프로토콜에 의존하는 훌륭한 시스템임. 정보보안 논문 주제로 삼고 싶었지만, 보안 모델이 너무 잘 설계돼 있어서 내가 더할 만한 게 없었음
    • 웹을 분산 아카이브 친화적으로 만들려면, 어떤 서버가 일관되게 제공하겠다고 암시하지만 실제로는 온갖 이유로 시점마다 다른 데이터를 보여주는 경로가 아니라 해시로 대상을 참조해야 한다고 봄
      서로 다른 데이터가 항상 서로 다른 참조를 받으면 백업이 충분한지 알기 쉬움. 같은 이름이 서로 다른 조건에서 찍힌 스냅샷 더미를 가리키면, 그 이름에 대해 우리가 백업하고 싶은 대상이 무엇인지 확신하기 어려움
    • LibGen과 Sci-Hub는 이 점에서 모범적임. 목적에 맞는 기술을 잘 씀. 토렌트 + IPFS + 단순 HTTP 미러를 곳곳에 둠
      데이터가 크긴 하지만 Archive.org만큼 크지는 않음: https://libgen.is/repository_torrent/. 그래도 이런 분산 노드로 갈 자금은 필요하고, 주된 목적은 복원력으로 보임
    • “내 디스크 여유 공간 2TB를 Internet Archive에 기부하겠다”고 하면 IA가 2TB 데이터를 밀어 넣는 시스템을 설계했음. 이 시스템은 IA나 다른 제공자가 사라져도 재구성할 수 있는 성질도 있음
      하지만 IA를 포함한 몇몇 아카이브 팀에 사용 의향을 물었을 때 답이 없거나 부정적 답변만 받았음
  • 누가, 왜 Internet Archive를 노리는지 아는 사람 있음? 단순한 장난성 파괴자라고 보기엔 공격이 너무 정교하다는 인상을 받음

    • 그냥 소금통에 오줌 누는 일처럼 보임. Internet Archive는 분명히 덕트테이프와 개인의 의지력으로 버티는 구조임. 물론 튼튼하고 오래가는 덕트테이프이긴 함
      게다가 주된 임무는 데이터를 퍼뜨리는 것이지, 수익을 내려고 데이터를 숨기는 게 아님
      소금통 비유를 모르는 사람을 위한 고대 지혜의 원문:
      https://web.archive.org/web/20060619131835/http://xelios.liv...
      번역은 아무거나 고르면 됨:
      https://malaya-zemlya.livejournal.com/697779.html
      https://personal-view.com/talks/discussion/25915/humor-hacke...
      https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
    • 왜 그렇게 느끼는지 모르겠음. 공격자의 메시지를 보면 전부 장난성 파괴자처럼 보이고, IA 시스템이 Fort Knox처럼 보인다는 신호도 못 봤음
      애초에 자신들을 노릴 이유가 거의 없다고 보고 보안에 꽤 느슨했어도 놀랍지 않음
    • 첫 번째 해킹을 했다고 주장한 그룹은 러시아 기반, 반미, 친팔레스타인 성향이라고 알려졌고, 공격 이유는 IA의 저작권 위반이라고 했음
      각자 더 근거 있는 결론을 내리면 되겠지만, 내게는 정부기관 냄새가 많이 남
    • 리더십 교체를 요구하는 댓글이 많은 걸 보면, 은박모자 이론으로는 리더십 교체를 끌어내려는 조직적 시도 같기도 함
    • 어쩌면 화이트햇 해커들이 IA에 보안 문제를 알려도 무시당하자, 크게 망가진 건 없어 보이는 방식으로 해킹해 조치를 강제한 것일 수도 있음
  • 자금 모델이 어떤지는 모르겠지만 현금이 있다면 보안팀 채용이 최우선 투자 항목이어야 한다고 봄

    • 적어도 지금 시점에서 IA의 자금 모델은 거대한 법적 판결을 기다리며 식은땀 흘리는 것에 가까울 듯함
  • 어떤 파괴자가 도서관을 공격함? 책임자를 정말 찾아내야 함

    • 이런 인터넷 공격은 Minecraft 서버를 운영하는 어린이, 소상공인, 아마추어 프로그래머 등에게 항상 벌어짐. 책임자를 찾는 건 어렵거나 불가능한 경우가 많고, FBI 같은 기관은 보통 더 큰 사건, 예를 들면 마약 밀매나 갈취 중심의 사이버 범죄에 자원을 씀
      슬픈 현실은 인터넷에서 부당하게 공격받는 사람이 많고, 수사 집중도와 자원 부족 때문에 상당수가 처벌받지 않는다는 것임
    • 이 공격으로 누가 이익을 얻는가? 누가 IA에서 책을 제거하도록 압박했는가?
  • Wayback Machine 스냅샷이 소송에 도움이 될 때마다 변호사들이 IA에 몇 달러씩 보내는 세상을 상상해 봄. 그러면 금방 세계적 수준의 관리자 팀을 감당할 수 있을 것임

    • 그건 끔찍한 해법임. Wayback Machine은 도메인을 통제하는 사람의 요청이 있으면 스냅샷을 내려줌. 그건 아카이브가 아님
      과거의 웹페이지 상태가 중요하다면, 상대가 요청한다고 사라지지 않는 기록이 필요함. perma.cc가 바로 그런 개념임
  • 거의 1년 전에 이력서를 보냈는데 어제까지 아무 답도 없었음. 지금 밀린 지원서를 뒤져가며 일손을 찾고 있는 것 같음

  • IA보다 나은 대안이 필요하다고 생각하거나, 다른 해법이 있다고 믿거나, 다른 조직이 운영해야 한다고 보는 모두에게: 경쟁 대안이 생기는 걸 막은 사람은 아무도 없음
    이미 IA가 해왔고 공유한 작업 덕분에 출발점도 앞서 있으니, 직접 시도해 보면 됨