1 pontos por GN⁺ 2024-10-10 | 1 comentários | Compartilhar no WhatsApp
  • Visitantes do Internet Archive viram um pop-up com o site adulterado e, junto com a continuidade de um ataque DDoS, foi divulgado um alerta de que dados de 31 milhões de contas foram expostos
  • O fundador Brewster Kahle confirmou a invasão pouco depois das 9PM ET e afirmou que o aviso foi inserido no site por meio de uma biblioteca JavaScript
  • O operador do Have I Been Pwned, Troy Hunt, disse que recebeu há 9 dias um arquivo com 31 milhões de endereços de e-mail únicos e confirmou sua validade ao compará-lo com dados de contas de usuários
  • O arquivo vazado incluía endereços de e-mail, nomes de tela, carimbos de data e hora de alteração de senha, senhas com hash Bcrypt e outros dados internos; 54% das contas já estavam no HIBP por causa de invasões anteriores
  • Após fechar o pop-up, o site carregava lentamente, mas às 5:30PM ET o pop-up havia sumido e, no lugar, o site aparecia em branco ou mostrava apenas um aviso temporário de indisponibilidade

Confirmação da adulteração do site e da invasão

  • Na tarde de quarta-feira, ao visitar o Internet Archive, era exibida uma mensagem pop-up informando que o site havia sido invadido
  • O pop-up dizia que o Internet Archive parecia “estar se arrastando” e perguntava se já tinha parecido estar “à beira de uma catastrophic security breach”, junto da frase “31 million of you on HIBP”
  • Pouco depois das 9PM ET, o fundador do Internet Archive, Brewster Kahle, confirmou a invasão e disse que o site havia sido adulterado com esse aviso por meio de uma biblioteca JavaScript

Dados de contas enviados ao HIBP

  • HIBP é a sigla de Have I Been Pwned, serviço que permite aos usuários verificar se suas informações estão incluídas em dados vazados em ciberataques
  • O operador do HIBP, Troy Hunt, confirmou ao BleepingComputer que recebeu há 9 dias um arquivo contendo 31 milhões de endereços de e-mail únicos
  • O arquivo incluía as seguintes informações
    • endereços de e-mail
    • nomes de tela
    • carimbos de data e hora de alteração de senha
    • senhas com hash Bcrypt

      • outros dados internos
      • Hunt confirmou a validade dos dados ao compará-los com contas de usuários

Momento em que o processo de divulgação coincidiu com o DDoS

  • Segundo a publicação do HIBP, 54% das contas vazadas já existiam no banco de dados do HIBP por causa de invasões anteriores
  • Troy Hunt também compartilhou em sua conta o cronograma de divulgação
    • Em 6 de outubro, contatou o Internet Archive sobre a invasão
    • Deu andamento ao processo de divulgação
    • No momento em que planejava carregar os dados no HIBP para notificar os usuários afetados, a adulteração do site e o DDoS ocorreram ao mesmo tempo

Mudanças no estado de acesso ao site

  • Depois de fechar o pop-up, o site carregava normalmente, mas funcionava lentamente
  • Às 5:30PM ET, o pop-up havia desaparecido, mas o próprio site também havia sumido
  • Os visitantes não viam nada ou apenas a mensagem temporária de indisponibilidade “Internet Archive services are temporarily offline”, com orientação para a conta do Internet Archive

1 comentários

 
GN⁺ 2024-10-10
Opiniões do Hacker News
  • Do ponto de vista da privacidade, também é importante notar que qualquer pessoa que já tenha enviado algo para o IA já teve seu endereço de e-mail exposto em metadados públicos
    Não é um fato muito conhecido, mas todos os metadados de uploads que podem ser vistos publicamente incluem o e-mail da conta do IA do uploader
    Isso também é ruim do ponto de vista de segurança, mas é bem provável que muitos usuários que já fizeram uploads não soubessem desse detalhe

    • Surge uma pergunta interessante: endereços de e-mail deveriam ser privados? Endereços de prédios não são privados e, como vários conceitos de computação, talvez sejam parecidos em certa medida
      Antes de os filtros de spam melhorarem, era comum ofuscar um pouco os endereços para impedir coleta automatizada, mas essa época parece ter passado, e isso também é uma questão separada de privacidade
      Se alguém não quer ser rastreado depois de um upload, de qualquer forma deveria usar um endereço descartável
      Se você forneceu a um administrador de serviço um endereço “privado” sem proibir explicitamente sua divulgação adicional, isso pode ser visto como algo parecido com contar algo à Alice sem pedir que ela não conte ao Bob
    • Isso não se aplica só a uploads, mas a qualquer item que use o endereço de e-mail como identificador único de usuário
      Além do XML dos uploads, o perfil também contém o endereço de e-mail, e qualquer pessoa pode acessá-lo simplesmente mudando a URL de https://archive.org/details/@foobar para https://archive.org/download/foobar
      Ou seja, independentemente de ter feito upload ou não, basta ter uma conta registrada para que ela possa ser exposta
      https://help.archive.org/help/accounts-a-basic-guide-2/
    • Só isso já é ruim o suficiente. Por si só, é um bug de privacidade e um vazamento de dados
      Em tese, alguém poderia raspar as páginas e criar uma lista dos endereços de e-mail expostos
    • Uma solução é usar um endereço de e-mail exclusivo para cada site e, se o site for comprometido, trocar esse endereço e colocar o antigo no filtro de spam
  • Baixei do Internet Archive o site de um velho amigo e o coloquei no ar de novo
    Ele faleceu, mas fico feliz por ter conseguido reviver aquele site
    Seria triste se o IA desaparecesse para sempre, mas, de qualquer forma, precisamos de uma solução descentralizada
    Não é uma boa ideia ter nosso patrimônio coletivo administrado por uma única organização gigante

    • Sempre pensei nisso. Acho que seria interessante fazer com que dispositivos conectados à internet armazenassem pequenas partes redundantes de dados
      Seria muito parecido com torrent, mas com mais peers e mais fragmentos de dados do que seeds com cópias completas
      Poderia ser uma forma de manter um enorme banco de dados para todos, obviamente open source, ajudando a rede com patches de segurança como o Tor, mas sem um “controle estilo painel de administrador” real sobre toda a rede
      Já faço algo parecido em escala menor com cache de arquivos estáticos de sites, mas em um nível muito menor
      As dificuldades de segurança seriam enormes, mas talvez não impossíveis de superar. IPFS chega perto, mas ainda se aproxima mais de um modelo centrado em seeds
      Se alguém conhece algo parecido com isso, gostaria de ouvir
    • Foi por isso que o BitTorrent e outras soluções P2P foram inventados, mas a realidade é esta: RIAA, MPAA e ESA deram a essas tecnologias uma reputação horrível, e ninguém gosta de manter seed
      Se as criptomoedas já não tivessem sido demonizadas, algum incentivo como uma criptomoeda baseada em seeding poderia ter sido excelente
    • Isso é justamente o protocolo torrent, e não funciona bem
      Ninguém quer gastar dinheiro e largura de banda hospedando filmes ou livros com os quais só algumas pessoas se importam
    • Ainda quero continuar tentando algo assim para sites antigos. Seria como um mini IA pessoal
      Além de usar wget ou curl, há alguma dica para baixar do IA um site completo e utilizável?
    • Ainda mais se for uma organização que já mostrou que nem sempre age de forma justa
  • Há mais informações sobre a violação de dados aqui. O banco de dados roubado contém 31 milhões de registros
    https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/

    • Dizem que atacantes costumam compartilhar os dados roubados com o Have I Been Pwned, criado por Troy Hunt; isso é verdade mesmo? Por que fariam isso?
    • Dizem que será adicionado ao HIBP em breve, mas meu endereço de e-mail criado especificamente para o archive.org ainda não aparece
    • O que me intriga é como Scott Helme acabou recebendo um hash de senha que continha o próprio nome dele
    • É um lembrete amigável para gerar senhas únicas para cada conta, de modo que, quando ocorrer um vazamento de banco de dados como esse, o problema não se estenda para além daquele site
  • Acabei de ver que o site exibe este aviso:
    “Você já sentiu que o Internet Archive é mantido com gravetos e está à beira de sofrer uma violação de segurança catastrófica a qualquer momento? Acabou de acontecer. Vejo vocês 31 milhões no HIBP!”

    • Engraçado que eu já apareço no HIBP incontáveis vezes
    • Se for um agente malicioso, devo presumir que e-mail e nome da conta foram vazados?
    • Não sei se isso é um aviso de verdade ou um sinal do hack
      Mensagens de erro simpáticas ou que tentam ser engraçadas às vezes são difíceis de distinguir
  • Parece que alguém comprometeu um subdomínio para Polyfill
    Atualização: agora parece que o subdomínio voltou a responder normalmente

    • Isso quer dizer que o IA incluía um polyfill JavaScript de algum subdomínio, e que ele foi comprometido ou foi o caminho por onde o aviso apareceu?
    • Isso poderia explicar, em certa medida, como conseguiram injetar o alerta em pop-up de JavaScript
  • É um daqueles momentos em que dá vontade de que maldições realmente funcionassem contra quem fez uma brincadeira dessas
    “Que você e seus descendentes sejam mordidos por 10 mil pulgas durante 10 mil noites como punição por seus atos perversos”

  • Talvez não seja uma boa hora para dizer isso, mas é surpreendentemente fácil percorrer uma coleção que tenha itens e obter todos os e-mails junto com os nomes de usuário
    https://archive.org/metadata/naturally_a_girl/metadata
    Alguém acabaria, de um jeito ou de outro, coletando em massa os e-mails vinculados aos nomes de usuário
    Fico um pouco curioso sobre como o hacker invadiu o banco de dados e obteve as senhas

    • Eu não fazia a menor ideia disso. Se soubesse que os e-mails eram públicos, com certeza teria feito algumas coisas de forma diferente
      Sinceramente, parece uma falha de design
    • Sim, as preocupações relacionadas a e-mails vinham sendo ignoradas há tempos
      https://github.com/internetarchive/iaux/issues/892
  • Por que mirar logo no Internet Archive? Mire em outra coisa; não mexa com a porcaria do arquivo

    • Precisamos de algum tipo de arquivo distribuído que seja facilmente acessível por todos
  • Este thread deve acabar sendo um dos primeiros lugares onde este incidente será registrado. Parece aparecer no topo do Google
    Já há duas contas recém-criadas por causa disso

    • Estou vendo mais do que duas
    • Procurei por toda parte e não achei menção em lugar nenhum, então percebi que tinha acabado de acontecer
  • Usei minha conta do IA com um endereço do Gmail por anos e, há 9 meses, troquei o e-mail para um endereço mascarado criado no meu domínio
    Mas agora vejo que meu endereço do Gmail ainda estava armazenado e foi incluído no vazamento. Por quê?
    Entendo que possam armazenar o histórico de alterações, mas por que manter isso?
    Nas informações atuais da conta, troquei a senha por outra string aleatória gerada pelo gerenciador de senhas, e também excluí o endereço de e-mail mascarado e criei outro
    Daqui para frente, isso não deve ser um grande problema para mim

    • Passei por uma situação parecida. No começo me cadastrei com a conta principal e depois mudei o e-mail do IA para um endereço mais privado
      A primeira coisa que verifiquei no HaveIBeenPwned foi o e-mail inicial, e ele não aparece neste vazamento
      Algumas outras contas que usam e-mail e senha exclusivos para o IA aparecem corretamente neste vazamento
      Não sei explicar por que isso aconteceu, mas também pensei exatamente nisso e quis deixar um contraexemplo
    • É possível que a invasão tenha ocorrido antes do que foi relatado, ou que tenha durado mais tempo