互联网档案(Internet Archive)又被黑？

今天有很多IA用户都收到了这封邮件：

令人沮丧的是，即使在两周前就已经被告知了安全漏洞，互联网档案馆（IA）仍未尽到应有的责任，去轮换那些在他们的GitLab秘密中暴露的许多API密钥。

正如这条信息所展示的，这包括一个Zendesk令牌，该令牌有权限访问自2018年以来发送至info@archive.org的80万+支持工单。

无论你是想提出一个普通问题，还是请求从Wayback Machine中移除你的网站——你的数据现在都掌握在某个随机人手中。如果不是我，那也会是别人。

希望他们现在能把事情处理好。

发送邮件的人表示，互联网档案馆团队在得知其GitLab中API密钥泄露的安全漏洞后，未能及时更换这些密钥。这导致了包括一个有权限访问大量支持工单的Zendesk令牌在内的敏感信息暴露。这不仅影响了用户的数据安全，也暴露了互联网档案馆在安全管理上的不足。

虽然现在数据泄漏并不是什么奇怪的事情，但是在密钥泄漏几周之后，都没有更换密钥，IA在安全方面确实做得不是那么好。

但是有一说一，即使是某些大公司，也很难做到定时轮转密钥这种操作。

不过仅从这封邮件中，我们没办法对这次入侵有足够的了解，无法完全理解其影响以及攻击者实际攻击的范围。

而且即使是Zendesk密钥泄漏，也不代表他们没有主动的去做安全措施，这也有可能是不知道从哪个角落里面找出来的一个已经废弃，但是仍然有效的密钥。

所以还是等待他们的官方回复吧~

加个星标关注不迷路 ★ 更多原创文章第一时间推送!
点赞，在看，分享，我都可以的

原文始发于微信公众号（混入安全圈的程序猿）：互联网档案(Internet Archive)又被黑？