« The Wayback Machine » d’Internet Archive a subi une violation de données après qu’un acteur de la menace a compromis le site Web et volé une base de données d’authentification des utilisateurs contenant 31 millions d’enregistrements uniques.
La nouvelle de la violation a commencé à circuler mercredi après-midi après que les visiteurs de archive.org j’ai commencé à voir une alerte JavaScript créée par le pirate informatique, indiquant que l’archive Internet avait été violée.
« Avez-vous déjà eu l’impression que l’Internet Archive fonctionne sur des bâtons et est constamment sur le point de subir une faille de sécurité catastrophique? C’est juste arrivé. Voyez 31 millions d’entre vous sur HIBP!, « lit une alerte JavaScript affichée sur le compromis archive.org site.
Le texte « HIBP » fait référence au service de notification de violation de données Have I Been Pwned créé par Troy Hunt, avec qui les acteurs de la menace partagent généralement des données volées à ajouter au service.
Hunt a déclaré à Breachtrace que l’auteur de la menace avait partagé la base de données d’authentification d’Internet Archive il y a neuf jours et qu’il s’agissait d’un fichier SQL de 6,4 Go nommé « ia_users.sql. »La base de données contient des informations d’authentification pour les membres enregistrés, y compris leurs adresses e-mail, leurs noms d’écran, les horodatages de changement de mot de passe, les mots de passe hachés Bcrypt et d’autres données internes.
L’horodatage le plus récent sur les enregistrements volés est le 28 septembre 2024, probablement lorsque la base de données a été volée.
Hunt dit qu’il y a 31 millions d’adresses e-mail uniques dans la base de données, dont beaucoup sont abonnées au service de notification de violation de données HIBP. Les données seront bientôt ajoutées à HIBP, permettant aux utilisateurs d’entrer leur adresse e-mail et de confirmer si leurs données ont été exposées dans cette violation.
Les données ont été confirmées réelles après que Hunt a contacté les utilisateurs répertoriés dans les bases de données, y compris le chercheur en cybersécurité Scott Helme, qui a autorisé Breachtrace à partager son dossier exposé.
9887370, [email protected],$2a$10$Bho2e2ptPnFRJyJKIn5BiehIDiEwhjfMZFVRM9fRCarKXkemA3PxuScottHelme,2020-06-25,2020-06-25,[email protected],2020-06-25 13:22:52.7608520,\N0\N\N@scotthelme\N\N\NHelmet a confirmé que le mot de passe haché bcrypt dans l’enregistrement de données correspondait au mot de passe haché brcrypt stocké dans son gestionnaire de mots de passe. Il a également confirmé que l’horodatage dans l’enregistrement de la base de données correspondait à la date à laquelle il avait modifié le mot de passe pour la dernière fois dans son gestionnaire de mots de passe.
Hunt dit qu’il a contacté Internet Archive il y a trois jours et a entamé un processus de divulgation, déclarant que les données seraient chargées dans le service dans 72 heures, mais il n’a pas eu de nouvelles depuis.
On ignore comment les auteurs de la menace ont violé les Archives Internet et si d’autres données ont été volées.
Plus tôt dans la journée, Internet Archive a subi une attaque DDoS, qui a maintenant été revendiquée par le groupe Black Meta hacktivist, qui dit qu’il mènera des attaques supplémentaires.
Breachtrace a contacté les Archives Internet avec des questions sur l’attaque, mais aucune réponse n’était immédiatement disponible.
Mise à jour du 10/10/24: Le fondateur d’Internet Archive, Brewster Kahle, a partagé une mise à jour sur X hier soir, confirmant la violation de données et déclarant que l’auteur de la menace utilisait une bibliothèque JavaScript pour afficher les alertes aux visiteurs.
« Ce que nous savons: attaques DDOS-repoussées pour l’instant; dégradation de notre site Web via la bibliothèque JS; violation des noms d’utilisateur/e-mail/mots de passe cryptés salés », lit-on dans une première mise à jour de statut tweetée hier soir.
« Ce que nous avons fait: Désactivation de la bibliothèque JS, nettoyage des systèmes, mise à niveau de la sécurité. »
Une deuxième mise à jour partagée ce matin indique que les attaques DDoS ont repris, prenant archive.org et openlibrary.org de nouveau hors ligne.
Alors qu’Internet Archive est confronté à la fois à une violation de données et à des attaques DDoS, on ne pense pas que les deux attaques soient liées.