«The Wayback Machine» de Internet Archive ha sufrido una violación de datos después de que un actor de amenazas comprometiera el sitio web y robara una base de datos de autenticación de usuario que contiene 31 millones de registros únicos.
La noticia de la violación comenzó a circular el miércoles por la tarde después de que los visitantes de archive.org comenzaran a ver una alerta de JavaScript creada por el hacker, que indicaba que el Archivo de Internet había sido violado.
«¿Alguna vez has sentido que el Archivo de Internet funciona con palos y está constantemente a punto de sufrir una brecha de seguridad catastrófica? Simplemente sucedió. ¡Vea 31 millones de ustedes en HIBP!», dice una alerta de JavaScript que se muestra en el sitio comprometido archive.org.
Fuente: BleepingComputer
El texto «HIBP» se refiere al servicio de notificación de violación de datos Have I Been Pwned creado por Troy Hunt, con quien los actores de amenazas comúnmente comparten datos robados para agregarlos al servicio.
Hunt le dijo a BleepingComputer que el actor de la amenaza compartió la base de datos de autenticación de Internet Archive hace nueve días y es un archivo SQL de 6,4 GB llamado «ia_users.sql». La base de datos contiene información de autenticación para los miembros registrados, incluidas sus direcciones de correo electrónico, nombres de pantalla, marcas de tiempo de cambio de contraseña, contraseñas con hash de Bcrypt y otros datos internos.
La marca de tiempo más reciente en los registros robados es el 28 de septiembre de 2024, probablemente cuando la base de datos fue robada.
Hunt dice que hay 31 millones de direcciones de correo electrónico únicas en la base de datos, con muchas suscritas al servicio de notificación de violación de datos de HIBP. Los datos pronto se agregarán a HIBP, lo que permitirá a los usuarios ingresar su correo electrónico y confirmar si sus datos fueron expuestos en esta violación.
Se confirmó que los datos eran reales después de que Hunt se pusiera en contacto con los usuarios que figuran en las bases de datos, incluido el investigador de ciberseguridad Scott Helme, quien permitió a BleepingComputer compartir su registro expuesto.
9887370, internetarchive@scotthelme.co.uk,$2a$10$Bho2e2ptPnFRJyJKIn5BiehIDiEwhjfMZFVRM9fRCarKXkemA3PxuScottHelme,2020-06-25,2020-06-25,internetarchive@scotthelme.co.uk,2020-06-25 13:22:52.7608520,\N0\N\N@scotthelme\N\N\N
Helme confirmó que la contraseña con hash de bcrypt en el registro de datos coincidía con la contraseña con hash de brcrypt almacenada en su administrador de contraseñas. También confirmó que la marca de tiempo en el registro de la base de datos coincidía con la fecha en que cambió por última vez la contraseña en su administrador de contraseñas.
Entrada del administrador de contraseñas para archive.org
Fuente: Scott Helme
Hunt dice que se puso en contacto con el Archivo de Internet hace tres días y comenzó un proceso de divulgación, afirmando que los datos se cargarían en el servicio en 72 horas, pero no ha recibido respuesta desde entonces.
No se sabe cómo los actores de la amenaza violaron el Archivo de Internet y si se robó algún otro dato.
Hoy temprano, el Archivo de Internet sufrió un ataque DDoS, que ahora ha sido reclamado por el grupo hacktivista BlackMeta, que dice que llevarán a cabo ataques adicionales.
BleepingComputer se puso en contacto con el Archivo de Internet con preguntas sobre el ataque, pero no hubo respuesta inmediata disponible.
Actualización 10/10/24: El fundador de Internet Archive, Brewster Kahle, compartió una actualización en X anoche, confirmando la violación de datos y afirmando que el actor de amenazas usó una biblioteca JavaScript para mostrar las alertas a los visitantes.
«Lo que sabemos: DDOS atacado-repedido por ahora; desfiguración de nuestro sitio web a través de la biblioteca de JS; violación de nombres de usuario/correo electrónico/contraseñas encriptadas saladas», dice una primera actualización de estado tuiteada anoche.
«Lo que hemos hecho: Desactivar la biblioteca JS, fregar sistemas, actualizar la seguridad».
Una segunda actualización compartida esta mañana afirma que los ataques DDoS se han reanudado, desconectando archive.org y openlibrary.org de nuevo.
Si bien el Archivo de Internet se enfrenta tanto a una violación de datos como a ataques DDoS al mismo tiempo, no se cree que los dos ataques estén conectados.
QAnons España 