Când arhivele digitale devin accesibile pe căi neașteptate: o vulnerabilitate la American Archive of Public Broadcasting a permis descărcarea unor materiale protejate și private de ani de zile, iar problema a fost remediată discret luna aceasta. Arhivele publice au rolul de a conserva istoria media, de la înregistrări radio din secolul trecut la emisiuni televizate mai recente, iar acest caz arată cum tehnologia menită să protejeze patrimoniul poate deveni și o poartă pentru scurgeri neintenționate.
Un specialist în securitate cibernetică a semnalat o vulnerabilitate care, în opinia sa, fusese exploatată cel puțin din 2021, inclusiv după ce problema fusese raportată anterior către American Archive of Public Broadcasting (AAPB). După ce echipa de securitate a fost contactată din nou, AAPB a confirmat existența problemei, iar cercetătorul a verificat că remedierea fusese aplicată în decurs de 48 de ore. Emily Balk, responsabilă cu comunicarea la AAPB, a declarat că organizația intensifică măsurile de securitate pentru a proteja materialele arhivate și intenționează să păstreze accesul gratuit la istoria media. Sună bine, mai ales dacă nu dorești ca emisiuni rare să ajungă online înainte de vreme.
American Archive este un proiect nonprofit coordonat de WGBH Educational Foundation și Biblioteca Congresului. Misiunea sa este colectarea, digitalizarea și conservarea conținutului istoric produs de radioul și televiziunea publică din SUA. Problema descoperită a ieșit la iveală după ce, în discuții online despre o scurgere, episodul pierdut din Sesame Street cu „Vrăjitoarea cea rea din Vest”, metoda de acces a început să fie menționată pe canale Discord. Lost Media Wiki a șters episodul, considerând că acesta fusese cel mai probabil obținut printr-o breșă ilegală și a cerut membrilor să înceteze partajarea.
Metoda de exploatare s-a răspândit mai larg în grupuri de conservare digitală până la mijlocul anului 2024, facilitând scurgeri suplimentare de conținut protejat pe servere Discord dedicate arhivării. Comunitățile cunoscute ca data hoarders se ocupă în mod serios cu arhivarea de software, site-uri web, sisteme de operare și diverse forme de media. Problema este că, lucrând în această zonă „gri”, granița dintre conservare și încălcare a drepturilor de autor devine neclară.
Exploitul era unul simplu: un script Tampermonkey care profita de o vulnerabilitate de tip IDOR, referință directă nesecurizată la obiecte. Practic, scriptul trimitea cereri pentru fișiere media utilizând un parametru ID și ocolea controalele de acces ale AAPB. Deși paginile principale de tip /media/{ID} aveau anumite verificări, cererile fetch sau XMLHttpRequest efectuate în fundal puteau fi modificate, iar serverul nu răspundea cu 403 Forbidden când existau ID-uri valide. Drept urmare, conținutul era livrat chiar dacă ar fi trebuit să rămână privat sau protejat.
Chiar dacă acum bugul este reparat, nu se știe câte materiale au fost accesate sau distribuite în comunitățile de arhivare. Incidentul se leagă de un alt eveniment din același an, când date de contact ale unor angajați PBS au fost divulgate și răspândite tot pe servere Discord ale fanilor PBS Kids. Ambele situații evidențiază că grupuri pasionate de conservare și fani pot ajunge la informații sensibile, chiar dacă intenția nu este neapărat malițioasă.
Detaliul tehnic esențial din acest caz: schimbarea parametrului media ID într-o cerere era suficientă pentru a obține accesul. Aceasta subliniază importanța validării riguroase a cererilor la nivel de server și a controlului atent al punctelor de acces care rulează în fundal. În practică, o verificare suplimentară pe server sau filtrarea cererilor ar fi putut preveni expunerea. De asemenea, incidentul arată cum canalele informale de comunicare, Discord, forumuri precum Lost Media Wiki, pot accelera diseminarea unor metode de exploatare, fie pentru conservare, fie pentru alte scopuri.
AAPB a reacționat și a implementat corecții rapide la semnalare. Rămâne incert cât a durat impactul și ce materiale au ajuns în posesia colectivelor de data hoarding. Pe lângă clarificarea responsabilităților tehnice, revine în prim-plan tema eticii în conservarea digitală: cine decide ce merită păstrat și cum se echilibrează accesul public cu protejarea drepturilor și a confidențialității?
Episodul din Sesame Street menționat a fost raportat ca fiind probabil obținut printr-o breșă; exploatarea IDOR a permis accesul la fișiere prin modificarea parametrului media ID; remedierea a fost aplicată în 48 de ore după raportare. Crezi că arhivele publice ar trebui să publice liste detaliate ale materialelor sensibile sau că acest lucru ar crea riscuri suplimentare?
Fii primul care comentează