Für eine digitale Bibliothek, deren Mission darin besteht, „universellen Zugang zu allem Wissen“ zu bieten, scheint es dem Internetarchiv schwer zu fallen, die Kontrolle über seine eigenen Daten zu behalten. Bei einem Verstoß, den man als warnendes Beispiel für jedes Unternehmen bezeichnen könnte, das auf Stapeln vertraulicher Benutzerinformationen sitzt, haben sich Hacker erneut kritische Daten erbeutet.
Der Grund für die jüngste Datenpanne im Internet Archive
Das Internet Archive wurde über seine Support-Plattform Zendesk angegriffen, ein kritischer Fehler, der darauf zurückzuführen ist, dass das Unternehmen es versäumt hat, gestohlene GitLab-Authentifizierungs-Tokens zu rotieren. Ja, Sie haben richtig gelesen – dieselben API-Tokens, die bei einem früheren Angriff kompromittiert wurden, waren immer noch im Spiel, eine Tatsache, auf die Bedrohungsakteure und Sicherheitsexperten gleichermaßen hingewiesen hatten. Der Hacker brachte es in einer höhnischen E-Mail dreist auf den Punkt: „Egal, ob Sie eine allgemeine Frage stellen oder die Entfernung Ihrer Website von der Wayback Machine beantragen wollten, Ihre Daten befinden sich jetzt in den Händen eines beliebigen Mannes.“ Wenn nicht ich, wäre es jemand anderes.“
Das brennt. Aber was ist schlimmer? Der Beweis liegt im digitalen Pudding. Die E-Mail-Header wurden überprüft und bestätigten, dass diese Nachrichten tatsächlich von autorisierten Zendesk-Servern gesendet wurden. Mittlerweile befanden sich über 800.000 Support-Tickets in den Händen von Hackern, und einige von ihnen enthielten Berichten zufolge persönliche Ausweisdokumente aus Entfernungsanfragen. Wenn Sie im Wesentlichen versucht haben, Ihre Spuren zu verwischen, indem Sie etwas aus der Wayback-Maschine löschten, könnten genau diese Bemühungen Sie jetzt entlarvt haben.
Das Faszinierende – und geradezu Absurde – ist, dass es sich hierbei nicht einmal um einen Angriff handelte, der auf Geldgewinn oder politischen Motiven beruhte. Es gab keine Lösegeldforderungen, keine Regierungsintrigen. Das war ein Flex. Der Hacker wollte seinen Ruf in der Unterwelt der Cyberkriminellen stärken, wo die Währung der Macht darauf basiert, dass deren Verstöße größer, dreister und öffentlicher sind. In diesem Fall war das Internet Archive das perfekte Ziel – ein bekannter Name, der auf der ganzen Welt beliebt ist, dessen Verteidigung jedoch scheinbar klaffende Lücken aufweist.
Sicher, Verschwörungstheorien überschwemmten das Internet, und einige behaupteten, dass Israel, die US-Regierung oder große Unternehmen an der Bresche beteiligt gewesen seien. Aber die Realität? Weit weniger glamourös. Es war nur eine Frage der Chance und des Prestiges unter den Hackern. In einer verdrehten Form der Ironie wurde genau die Institution, die sich der Bewahrung von Informationen verschrieben hat, zum neuesten Ausstellungsstück im Museum der verletzten Daten.
Dies war nicht einmal das erste Mal, dass das Archiv getroffen wurde. Tatsächlich war es ihr Dritter großer Verstoß im Monat Oktober. Zuvor ermöglichte ein offengelegter GitLab-Token Hackern den Diebstahl des Quellcodes und der Benutzerdaten von 33 Millionen Benutzern. Die Hacker hatten sogar die Dreistigkeit, das JavaScript der Website zu verunstalten und den Besuchern eine Meldung anzuzeigen, dass ihre Daten kompromittiert worden seien. „Sehen Sie sich 31 Millionen von Ihnen an [Have I Been Pwned]“, lautete es.
Und während die Organisation argumentieren mag, dass ihre riesige Bibliothek intakt geblieben sei, erzählt das digitale Äquivalent von zerbrochenem Glas auf dem Boden eine andere Geschichte. Das Internet Archive war damit beschäftigt, sich mit dringenderen Problemen zu befassen – nämlich Klagen wegen Urheberrechtsverletzungen – und ließ dabei die Cybersicherheit in den Hintergrund.
Werden sie es jemals lernen?
Trotz öffentlicher Versprechen des Gründers Brewster Kahle Um „die Verteidigung zu stärken“ und die Sicherheit zu gewährleisten, deuten die wiederholten Vorfälle auf etwas Systemischeres hin. Kahle selbst hat diese Fehler eingeräumt und erklärt, dass die gemeinnützige Organisation „rund um die Uhr“ daran arbeitet, die Sicherheit zu verbessern, aber wie oft kann man aus der Asche wieder aufbauen, bevor die Benutzer einfach aufhören, einem zu vertrauen?
Hervorgehobener Bildnachweis: Markus Spiske/Unsplash