Internet Archive hackeado de nuevo: no anularon los tokens robados en el primer ataque

hacker ataque windows

Hace poco más de una semana, os informamos de que Internet Archive, la mayor biblioteca de Internet, sufría un importante ciberataque que permitió a piratas informáticos hacerse con los datos de más de 31 millones de usuarios. Hoy, por desgracia, esta plataforma web vuelve a la palestra con un nuevo ataque informático, esta vez por culpa de la propia compañía. Os contamos todos los detalles.

Todo empezó cuando, el pasado mes de septiembre, se confirmaba que su servicio de caché web, Wayback Machine, pasaría a sustituir oficialmente a la caché de Google en el buscador. Esto no solo implica un botón más dentro de los resultados de búsqueda, sino un chorro de dinero importante por parte del gigante de Internet con el que poder seguir manteniendo el proyecto en marcha.

Sin embargo, parece que hay grupos a los que no les interesa que esta web funcione como esta caché. Y, por ello, finalmente acabaron hackeando la plataforma. Al entrar en la web, hace 10 días, podíamos ver un código JavaScript en el que se informaba a todos los visitantes del hackeo. Y, a raíz de este hackeo, los piratas se hicieron con una inmensa base de datos, de 6.4 GB, con los datos de 31 millones de usuarios registrados.

Hackeo Internet Archive

Este no ha sido el único ataque informático al que se ha enfrentado la compañía. Sin ir más lejos, pocas horas después, empezó a sufrir ataques DDoS masivos que tumbaban el acceso a la web y quedaba inaccesible durante horas. Pero, aunque los ataques DDoS cesaron, un nuevo ataque informático ha conseguido romper las barreras de esta web.

El nuevo ataque informático de Internet Archive

Hace apenas unas horas, muchas webs, que habían realizado peticiones a Internet Archive para borrar ciertos tipos de contenidos de la caché, empezaron a recibir respuesta a antiguos tickets en los que se informaba del nuevo ataque. Esta vez, los piratas informáticos han aprovechado los tokens antiguos de autenticación, robados en el pasado ataque, puesto que no han sido rotadas.

Los piratas informáticos tienen acceso a una gran cantidad de tokens y claves API que, a pesar del ataque masivo de hace 10 días, aún siguen funcionando. Entre estos tokens de acceso, los piratas han conseguido acceder a Zendesk, el sistema usado para los tickets, brindando acceso a toda la información de los más de 800.000 tickets de soporte que se han enviado a info@archive.org desde 2018.

Mail Zendesk Internet Archive

En este nuevo ataque informático, los piratas han conseguido acceso a toda la información que se enviara a soporte. Y no solo eso, sino que también han empezado a llevar a cabo ataques dirigidos usando la plataforma Zendesk. Por ejemplo, Bleeping Compute, quien hace eco de este nuevo ataque, asegura que ha recibido respuesta a algunos de los tickets en la que se les pide información personal (como un DNI) para poder continuar con el «borrado». Claramente, es una estafa que están intentando llevar a cabo los piratas informáticos.

Ignorando los avisos de la brecha

El ataque informático a Internet Archive no debería haberle pillado por sorpresa. Varios expertos de seguridad avisaron a la compañía de que tenían un token activo, desde hacía más de dos años, en GitLab. Este token, finalmente ha caído en manos de los piratas informáticos, y por ello acabaron finalmente hackeados. El segundo ataque es, prácticamente, por lo mismo, ya que las APIs y los tokens no se rotaron tras asegurar la web.

En este nuevo ataque, el pirata informático asegura haber robado un total de 7 TB de datos, entre los que se encuentra todo el código fuente de la web, bases de datos, sistemas de gestión, y mucho más. Aunque, eso sí, aún no se han aportado pruebas que demuestren que, realmente, tienen estos datos.

internet archive Google

Por ahora, la base de datos del primer ataque informático se encuentra publicada en multitud de sitios web, y gracias a ello podemos comprobar si nuestros datos estén entre ellos a través de Have I Been Pwned. Pero las bases de datos de este nuevo ataque informático aún se guarda en privado, y solo se está comercializando en foros de piratería, como Breached, y similares.

Comparte lo que descubriste en Pongara News