Internet Archive взломан. Похищены данные 31 млн пользователей

У сайта Wayback Machine, принадлежащего некоммерческой организации «Архив интернета» (Internet Archive), произошла утечка данных. Неизвестные злоумышленники взломали сайт и похитили аутентификационную БД пользователей, содержащую более 31 млн уникальных записей.

Об атаке стало известно в минувшую среду, 9 октября 2024 года. Первыми взлом заметили посетители сайта archive.org, так как хакеры создали JavaScript-оповещение, в котором прямо заявили, что Internet Archive скомпрометирован.

«Вам никогда не казалось, что Internet Archive работает на честном слове и постоянно находится на грани катастрофического нарушения безопасности? Именно это только что произошло. Увидимся с 31 млн из вас на HIBP», — гласило сообщение злоумышленников.

Аббревиатура HIBP обозначает сервис Have I Been Pwned, собирающий информацию об утечках данных. Здесь пользователи могут проверить свою информацию на предмет компрометации, а также подписаться на соответствующие уведомления. Ресурс был создан ИБ-специалистом Троем Хантом (Troy Hunt), и хакеры нередко делятся с ним украденными данными для добавления в базу HIBP.

Трой Хант сообщил изданию Bleeping Computer, что девять дней назад злоумышленник действительно поделился с ним аутентификационной базой данных Internet Archive, которая представляет собой SQL-файл (ia_users.sql) размером 6,4 ГБ.

Эта БД содержит информацию об аутентификации зарегистрированных пользователей, включая их адреса электронной почты, псевдонимы, временные метки смены паролей, хешированные bcrypt пароли и другую внутреннюю информацию.

Самая последняя метка в украденных записях датирована 28 сентября 2024 года. Предполагается, что именно тогда и была украдена БД.

По словам Хант, база содержит 31 млн уникальных email-адресов, и многие из этих людей подписаны на уведомления об утечках данных на HIBP. Исследователь уже связался с некоторыми людьми, чья информация фигурирует в утечке, и те подтвердили подлинность данных.

Одним из этих людей был ИБ-специалист Скотт Хелме (Scott Helme), который вообще разрешил Bleeping Computer опубликовать данные его скомпрометированной записи без купюр.

9887370, internetarchive@scotthelme.co.uk, $2a$10$Bho2e2ptPnFRJyJKIn5BiehIDiEwhjfMZFVRM9fRCarKXkemA3PxuScottHelme, 2020-06-25,2020-06-25,internetarchive@scotthelme.co.uk,2020-06-25 13:22:52.7608520,\N0\N\N@scotthelme\N\N\N

Хелме подтвердил, что хешированный bcrypt пароль совпадает с записью, хранящейся в его менеджере паролей. Также он продемонстрировал, что временная отметка в БД совпадает с датой, когда он в последний раз менял пароль.

Дамп уже добавлен в БД HIBP, и все пользователи смогут проверить, действительно ли их данные были раскрыты в результате компрометации Internet Archive, а тем, кто подписан на уведомления об утечках, уже разосланы предупреждения.

Трой Хант рассказал, что связался с представителями Internet Archive еще три дня назад и уведомил их, что полученная от хакеров БД будет загружена в HIBP в течение 72 часов, однако он так не получил ответа от организации.

Пока остается неясным, как именно злоумышленники проникли в Internet Archive, каковы их мотивы, и были ли украдены еще какие-то данные.

Основатель Internet Archive Брюстер Кейл (Brewster Kahle) сообщает в X, что недавно сайт отразил DDoS-атаку, но сейчас дефейс сайта через JS-библиотеку уже устранен. Также он пишет, что Internet Archive уже известно об утечке, и организация «отключила JS-библиотеку и очищает системы, повышая безопасность».

Никаких дополнительных подробностей Кейл не приводит. Пока неясно, связаны ли между собой упомянутая DDoS-атака и взлом сайта.