Actualización añadida al final del artículo.
La “Wayback Machine” de Internet Archive ha sufrido una violación de datos después de que un actor amenazante comprometiera el sitio web y robara una base de datos de autenticación de usuarios que contiene 31 millones de registros únicos.
Las noticias sobre la brecha comenzaron a circular el miércoles por la tarde después de que los visitantes de archive.org comenzaron a ver una alerta de JavaScript creada por el hacker, indicando que Internet Archive había sido comprometido.
“¿Alguna vez has sentido que Internet Archive funciona con palitos y está constantemente al borde de sufrir una violación de seguridad catastrófica? Acaba de suceder. ¡Vean a 31 millones de ustedes en HIBP!,” dice una alerta de JavaScript mostrada en el sitio archive.org comprometido.
Alerta de JavaScript mostrada en Archive.org
Fuente: BleepingComputer
El texto “HIBP” se refiere al servicio de notificación de violaciones de datos Have I Been Pwned creado por Troy Hunt, con el que los actores amenazantes comparten comúnmente datos robados para ser agregados al servicio.
Hunt le dijo a BleepingComputer que el actor amenazante compartió la base de datos de autenticación de Internet Archive hace nueve días y es un archivo SQL de 6.4GB llamado “ia_users.sql.” La base de datos contiene información de autenticación de miembros registrados, incluidas sus direcciones de correo electrónico, nombres de pantalla, marcas de tiempo de cambio de contraseña, contraseñas con hash Bcrypt, y otros datos internos.
La marca de tiempo más reciente en los registros robados es el 28 de septiembre de 2024, probablemente cuando se robó la base de datos.
Hunt dice que hay 31 millones de direcciones de correo electrónico únicas en la base de datos, muchas de las cuales están suscritas al servicio de notificación de violaciones de datos HIBP. Los datos pronto se agregarán a HIBP, lo que permitirá a los usuarios ingresar su correo electrónico y confirmar si sus datos fueron expuestos en esta brecha.
Los datos fueron confirmados como reales después de que Hunt contactara a usuarios listados en las bases de datos, incluido el investigador de ciberseguridad Scott Helme, quien permitió a BleepingComputer compartir su registro expuesto.
9887370, [email protected],$2a$10$Bho2e2ptPnFRJyJKIn5BiehIDiEwhjfMZFVRM9fRCarKXkemA3PxuScottHelme,2020-06-25,2020-06-25,[email protected],2020-06-25 13:22:52.7608520,\N0\N\N@scotthelme\N\N\N
Helme confirmó que la contraseña con hash Bcrypt en el registro de datos coincidía con la contraseña con hash Bcrypt almacenada en su administrador de contraseñas. También confirmó que la marca de tiempo en el registro de la base de datos coincidía con la fecha en que cambió por última vez la contraseña en su administrador de contraseñas.
Entrada del administrador de contraseñas para archive.org
Fuente: Scott Helme
Hunt dice que contactó a Internet Archive hace tres días y comenzó un proceso de divulgación, indicando que los datos se cargarían en el servicio en 72 horas, pero aún no ha recibido respuesta.
No se sabe cómo los actores amenazantes lograron vulnerar a Internet Archive y si se robaron algún otro dato.
Más temprano hoy, Internet Archive sufrió un ataque de denegación de servicio (DDoS), que ahora ha sido reclamado por el grupo hacktivista BlackMeta, quien dice que llevará a cabo ataques adicionales.
BleepingComputer contactó a Internet Archive con preguntas sobre el ataque, pero no hubo respuesta disponible de inmediato.
Actualización 10/10/24: El fundador de Internet Archive, Brewster Kahle, compartió una actualización en X anoche, confirmando la violación de datos y declarando que el actor amenazante utilizó una biblioteca de JavaScript para mostrar las alertas a los visitantes.
“Lo que sabemos: ataque DDOS repelido por ahora; desfiguración de nuestro sitio web a través de la biblioteca de JS; violación de nombres de usuario/correo electrónico/contraseñas con sal y cifrado,” dice una primera actualización de estado tuiteada anoche.
“Lo que hemos hecho: Deshabilitamos la biblioteca de JS, limpiando los sistemas, actualizando la seguridad.”
Una segunda actualización compartida esta mañana indica que los ataques DDoS han vuelto, volviendo a dejar offline a archive.org y openlibrary.org.
Mientras que Internet Archive enfrenta tanto una violación de datos como ataques DDoS al mismo tiempo, no se cree que los dos ataques estén conectados.