Incidente de invasão no Internet Archive: alerta de vazamento de dados de 31 milhões de contas
(theverge.com)- Visitantes do Internet Archive viram um pop-up com o site adulterado e, junto com a continuidade de um ataque DDoS, foi divulgado um alerta de que dados de 31 milhões de contas foram expostos
- O fundador Brewster Kahle confirmou a invasão pouco depois das 9PM ET e afirmou que o aviso foi inserido no site por meio de uma biblioteca JavaScript
- O operador do Have I Been Pwned, Troy Hunt, disse que recebeu há 9 dias um arquivo com 31 milhões de endereços de e-mail únicos e confirmou sua validade ao compará-lo com dados de contas de usuários
- O arquivo vazado incluía endereços de e-mail, nomes de tela, carimbos de data e hora de alteração de senha, senhas com hash Bcrypt e outros dados internos; 54% das contas já estavam no HIBP por causa de invasões anteriores
- Após fechar o pop-up, o site carregava lentamente, mas às 5:30PM ET o pop-up havia sumido e, no lugar, o site aparecia em branco ou mostrava apenas um aviso temporário de indisponibilidade
Confirmação da adulteração do site e da invasão
- Na tarde de quarta-feira, ao visitar o Internet Archive, era exibida uma mensagem pop-up informando que o site havia sido invadido
- O pop-up dizia que o Internet Archive parecia “estar se arrastando” e perguntava se já tinha parecido estar “à beira de uma catastrophic security breach”, junto da frase “31 million of you on HIBP”
- Pouco depois das 9PM ET, o fundador do Internet Archive, Brewster Kahle, confirmou a invasão e disse que o site havia sido adulterado com esse aviso por meio de uma biblioteca JavaScript
Dados de contas enviados ao HIBP
- HIBP é a sigla de Have I Been Pwned, serviço que permite aos usuários verificar se suas informações estão incluídas em dados vazados em ciberataques
- O operador do HIBP, Troy Hunt, confirmou ao BleepingComputer que recebeu há 9 dias um arquivo contendo 31 milhões de endereços de e-mail únicos
- O arquivo incluía as seguintes informações
- endereços de e-mail
- nomes de tela
- carimbos de data e hora de alteração de senha
-
senhas com hash Bcrypt
- outros dados internos
- Hunt confirmou a validade dos dados ao compará-los com contas de usuários
Momento em que o processo de divulgação coincidiu com o DDoS
- Segundo a publicação do HIBP, 54% das contas vazadas já existiam no banco de dados do HIBP por causa de invasões anteriores
- Troy Hunt também compartilhou em sua conta o cronograma de divulgação
- Em 6 de outubro, contatou o Internet Archive sobre a invasão
- Deu andamento ao processo de divulgação
- No momento em que planejava carregar os dados no HIBP para notificar os usuários afetados, a adulteração do site e o DDoS ocorreram ao mesmo tempo
Mudanças no estado de acesso ao site
- Depois de fechar o pop-up, o site carregava normalmente, mas funcionava lentamente
- Às 5:30PM ET, o pop-up havia desaparecido, mas o próprio site também havia sumido
- Os visitantes não viam nada ou apenas a mensagem temporária de indisponibilidade “Internet Archive services are temporarily offline”, com orientação para a conta do Internet Archive
1 comentários
Opiniões do Hacker News
Do ponto de vista da privacidade, também é importante notar que qualquer pessoa que já tenha enviado algo para o IA já teve seu endereço de e-mail exposto em metadados públicos
Não é um fato muito conhecido, mas todos os metadados de uploads que podem ser vistos publicamente incluem o e-mail da conta do IA do uploader
Isso também é ruim do ponto de vista de segurança, mas é bem provável que muitos usuários que já fizeram uploads não soubessem desse detalhe
Antes de os filtros de spam melhorarem, era comum ofuscar um pouco os endereços para impedir coleta automatizada, mas essa época parece ter passado, e isso também é uma questão separada de privacidade
Se alguém não quer ser rastreado depois de um upload, de qualquer forma deveria usar um endereço descartável
Se você forneceu a um administrador de serviço um endereço “privado” sem proibir explicitamente sua divulgação adicional, isso pode ser visto como algo parecido com contar algo à Alice sem pedir que ela não conte ao Bob
Além do XML dos uploads, o perfil também contém o endereço de e-mail, e qualquer pessoa pode acessá-lo simplesmente mudando a URL de https://archive.org/details/@foobar para https://archive.org/download/foobar
Ou seja, independentemente de ter feito upload ou não, basta ter uma conta registrada para que ela possa ser exposta
https://help.archive.org/help/accounts-a-basic-guide-2/
Em tese, alguém poderia raspar as páginas e criar uma lista dos endereços de e-mail expostos
Baixei do Internet Archive o site de um velho amigo e o coloquei no ar de novo
Ele faleceu, mas fico feliz por ter conseguido reviver aquele site
Seria triste se o IA desaparecesse para sempre, mas, de qualquer forma, precisamos de uma solução descentralizada
Não é uma boa ideia ter nosso patrimônio coletivo administrado por uma única organização gigante
Seria muito parecido com torrent, mas com mais peers e mais fragmentos de dados do que seeds com cópias completas
Poderia ser uma forma de manter um enorme banco de dados para todos, obviamente open source, ajudando a rede com patches de segurança como o Tor, mas sem um “controle estilo painel de administrador” real sobre toda a rede
Já faço algo parecido em escala menor com cache de arquivos estáticos de sites, mas em um nível muito menor
As dificuldades de segurança seriam enormes, mas talvez não impossíveis de superar. IPFS chega perto, mas ainda se aproxima mais de um modelo centrado em seeds
Se alguém conhece algo parecido com isso, gostaria de ouvir
Se as criptomoedas já não tivessem sido demonizadas, algum incentivo como uma criptomoeda baseada em seeding poderia ter sido excelente
Ninguém quer gastar dinheiro e largura de banda hospedando filmes ou livros com os quais só algumas pessoas se importam
Além de usar wget ou curl, há alguma dica para baixar do IA um site completo e utilizável?
Há mais informações sobre a violação de dados aqui. O banco de dados roubado contém 31 milhões de registros
https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/
Acabei de ver que o site exibe este aviso:
“Você já sentiu que o Internet Archive é mantido com gravetos e está à beira de sofrer uma violação de segurança catastrófica a qualquer momento? Acabou de acontecer. Vejo vocês 31 milhões no HIBP!”
Mensagens de erro simpáticas ou que tentam ser engraçadas às vezes são difíceis de distinguir
Parece que alguém comprometeu um subdomínio para Polyfill
Atualização: agora parece que o subdomínio voltou a responder normalmente
É um daqueles momentos em que dá vontade de que maldições realmente funcionassem contra quem fez uma brincadeira dessas
“Que você e seus descendentes sejam mordidos por 10 mil pulgas durante 10 mil noites como punição por seus atos perversos”
Talvez não seja uma boa hora para dizer isso, mas é surpreendentemente fácil percorrer uma coleção que tenha itens e obter todos os e-mails junto com os nomes de usuário
https://archive.org/metadata/naturally_a_girl/metadata
Alguém acabaria, de um jeito ou de outro, coletando em massa os e-mails vinculados aos nomes de usuário
Fico um pouco curioso sobre como o hacker invadiu o banco de dados e obteve as senhas
Sinceramente, parece uma falha de design
https://github.com/internetarchive/iaux/issues/892
Por que mirar logo no Internet Archive? Mire em outra coisa; não mexa com a porcaria do arquivo
Este thread deve acabar sendo um dos primeiros lugares onde este incidente será registrado. Parece aparecer no topo do Google
Já há duas contas recém-criadas por causa disso
Usei minha conta do IA com um endereço do Gmail por anos e, há 9 meses, troquei o e-mail para um endereço mascarado criado no meu domínio
Mas agora vejo que meu endereço do Gmail ainda estava armazenado e foi incluído no vazamento. Por quê?
Entendo que possam armazenar o histórico de alterações, mas por que manter isso?
Nas informações atuais da conta, troquei a senha por outra string aleatória gerada pelo gerenciador de senhas, e também excluí o endereço de e-mail mascarado e criei outro
Daqui para frente, isso não deve ser um grande problema para mim
A primeira coisa que verifiquei no HaveIBeenPwned foi o e-mail inicial, e ele não aparece neste vazamento
Algumas outras contas que usam e-mail e senha exclusivos para o IA aparecem corretamente neste vazamento
Não sei explicar por que isso aconteceu, mas também pensei exatamente nisso e quis deixar um contraexemplo