Una vulnerabilidad en el sitio web de American Archive of Public Broadcasting permitió la descarga de medios protegidos y privados durante años, con la falla en silencio este mes.
BleepingComuter fue inclinado sobre el defecto por un investigador de ciberseguridad que pidió permanecer en el anonimato, afirmando que la falla ha sido explotada desde al menos 2021, incluso después de que el investigador lo informó anteriormente a la organización.
Después de contactar a AAPB sobre el defecto, un portavoz confirmó el problema, y el investigador validó que la solución se implementó dentro de las 48 horas.
«Estamos comprometidos a proteger y preservar el material de archivo en la AAPB y hemos fortalecido la seguridad para el archivo», declaró la gerente de comunicaciones de AAPB, Emily Balk, a BleepingComuter.
«Esperamos continuar haciendo que el historial de los medios públicos sea gratuito y accesible para el público».
El Archivo Americano, operado por WGBH Educational Foundation (GBH) y la Biblioteca del Congreso, es un archivo público sin fines de lucro cuya misión es recopilar, digitalizar y preservar contenido históricamente significativo producido por la radio y la televisión pública en los Estados Unidos.
BleepingComputer se le dijo que la vulnerabilidad de AAPB circulaba por primera vez como un rumor en las discusiones en línea sobre la filtración del episodio de Sesame Street «Wicked Witch of the West» en el canal de discordia Wiki de los medios perdidos.
Lost Media Wiki eliminó el episodio, diciendo que «probablemente se obtuvo en una violación de datos ilegales», instando a los miembros a abstenerse de volver a compartirlo en su canal de discordia.
Inicialmente en secreto, el método de exploit comenzó a circular en grupos de preservación de discordias a mediados de 2024, lo que lleva a fugas adicionales de contenido protegido en los servidores de discordia centrados en la preservación del contenido.
Conocidos como acaparadores de datos, estas comunidades se dedican a archivar software, sitios web, sistemas operativos y diversas formas de medios, incluidos programas de televisión, música y películas. Sin embargo, a menudo operan en un área gris, donde el contenido con derechos de autor se conserva y comparten, difuminando la línea con la piratería digital.
Incluso con los esfuerzos de eliminación de AAPB, el exploit continuó circulando en varios servidores de discordia y aplicaciones de mensajería, con una prueba de concepto compartida con BleepingComuter mostrando cuán fácil era abusar.
El Exploit compartido con BleepingComputer es un simple script Tampermonkey que explota una falla insegura de referencia de objetos directos (IDOR), lo que permite a los usuarios solicitar archivos multimedia por ID y evitar los controles de acceso de AAPB.
El error permitió a los usuarios cambiar el parámetro de ID de medios en las solicitudes de acceso a los medios, lo que les permite acceder a los recursos por identificación, incluso si estaban protegidos o privados.
Aunque las páginas Main /Media /{ID} tenían algunos controles de acceso, los atacantes podrían omitirlos al manipular las llamadas de Fetch o XMLHTTPREQUEST realizadas en segundo plano.
En lugar de que el servidor de AAPB rechace esas solicitudes con un error '403 prohibido', siempre que la solicitud tuviera una ID de medios válida, se sirvió el contenido.
Si bien la vulnerabilidad ahora se ha solucionado, no se sabe cuánto contenido se accedió y se compartió dentro de la comunidad de acaparadores de datos.
La filtración de contenido en American Archive siguió a otro incidente a principios de este año, donde La información de contacto del empleado de PBS se filtró y se extiende a través de servidores de discordia para los fanáticos de 'PBS Kids'.
Ambos incidentes ilustran cómo las comunidades de archivo y los fanáticos pueden obtener acceso a datos confidenciales o privados, incluso cuando no se usa para fines maliciosos.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
