GN⁺: 도난된 액세스 토큰을 통한 Internet Archive 재침해 사건
(bleepingcomputer.com)인터넷 아카이브의 보안 침해
-
사건 개요
- 인터넷 아카이브가 다시 보안 침해를 당했음. 이번에는 Zendesk 이메일 지원 플랫폼에서 GitLab 인증 토큰이 노출되어 발생한 사건임.
- BleepingComputer는 인터넷 아카이브의 제거 요청에 대한 답변을 받은 사람들로부터 여러 메시지를 받았으며, 이들은 조직이 인증 토큰을 제대로 교체하지 않아 침해되었다고 경고함.
-
Zendesk 이메일 침해
- 위협 행위자는 Zendesk 토큰을 사용하여 2018년 이후 info@archive.org으로 발송된 80만 개 이상의 지원 티켓에 접근할 수 있었음.
- 이메일 헤더는 DKIM, DMARC, SPF 인증 검사를 모두 통과하여, 인증된 Zendesk 서버에서 발송된 것임을 증명함.
-
GitLab 인증 토큰 노출
- 10월 9일, BleepingComputer는 인터넷 아카이브가 두 가지 공격을 동시에 받았다고 보도함. 하나는 3,300만 명의 사용자 데이터를 도난당한 데이터 침해, 다른 하나는 친팔레스타인 그룹 SN_BlackMeta에 의한 DDoS 공격임.
- 데이터 침해는 노출된 GitLab 구성 파일에서 시작되었으며, 이 파일은 인터넷 아카이브의 소스 코드 다운로드를 허용하는 인증 토큰을 포함하고 있었음.
-
사이버 명성을 위한 침해
- 인터넷 아카이브는 정치적 또는 금전적 이유가 아닌 단순히 위협 행위자가 가능했기 때문에 침해됨.
- 데이터 침해 커뮤니티에서 명성을 얻기 위해 데이터가 무료로 공개될 가능성이 높음.
GN⁺의 정리
- 인터넷 아카이브의 보안 침해 사건은 인증 토큰 관리의 중요성을 강조함. 이는 보안 관행의 기본이지만, 이를 소홀히 할 경우 심각한 결과를 초래할 수 있음.
- 이 사건은 데이터 침해 커뮤니티에서의 명성 경쟁을 보여주며, 단순한 호기심이나 명성을 위해서도 침해가 발생할 수 있음을 시사함.
- 유사한 기능을 가진 프로젝트로는 GitHub의 보안 관리 도구들이 있으며, 이러한 도구들은 인증 토큰 관리에 도움을 줄 수 있음.
Hacker News 의견
-
IA가 API 키를 교체하지 않은 것에 대한 실망스러움이 있음
- 보안 침해가 발생한 지 몇 주가 지났음에도 불구하고 조치가 이루어지지 않았음
- 부유한 이해관계자들을 화나게 한 후에 이런 일이 발생한 것이 의심스러움
-
정보 보안 지식이 있는 사람들은 무료로 전문 지식을 제공할 기회가 있음
-
분산 저장소에 기반한 아카이브가 필요함
- Internet Archive의 작업을 지지하지만, 역사를 보존하는 것은 단일 실패 지점에 의존해서는 안 됨
-
인터넷 도서관과 같은 이타적인 것을 공격하는 것은 매우 슬픈 일임
- 이러한 퇴폐성을 보는 것은 정말로 사기를 꺾음
-
Internet Archive를 겨냥하는 사람이 누구인지, 그리고 그 이유가 무엇인지 궁금함
- 공격이 단순한 반달리즘이 아닌 것 같음
-
Internet Archive가 자금이 있다면 보안 팀을 고용하는 것이 최우선 투자 목록에 있어야 함
-
Wayback Machine의 스냅샷이 법률 사건에 도움이 될 때마다 변호사들이 Internet Archive에 기부하는 세상을 상상함
- 그렇게 하면 세계적인 수준의 관리 팀을 빠르게 고용할 수 있을 것임
-
거의 1년 전에 이력서를 보냈지만 어제까지 아무런 응답이 없었음
- 현재 더 많은 인력을 찾기 위해 백로그를 처리 중인 것 같음
-
지난주에 공개된 zendesk의 이메일 스푸핑 공격 벡터와 동일한 것인지 궁금함
-
보안 문제가 해결되는 동안 IA를 읽기 전용 모드로 미러링할 수 있는 방법이 있는지 궁금함