miércoles, 9 de octubre de 2024

Internet Archive está bajo ataque, una filtración revela información de 31 millones de cuentas

 Internet Archive está bajo ataque, una filtración revela información de 31 millones de cuentas


 "The Wayback Machine" de Internet Archive ha sufrido una filtración de datos después de que un actor de amenazas comprometiera el sitio web y robara una base de datos de autenticación de usuarios que contenía 31 millones de registros únicos.

 Internet Archive hacked, data breach impacts 31 million users (bleepingcomputer.com)

Internet Archive

Las noticias de la filtración comenzaron a circular el miércoles por la tarde después de que los visitantes de archive.org comenzaran a ver una alerta de JavaScript creada por el hacker, que indicaba que Internet Archive había sido vulnerado.

"¿Alguna vez has sentido que Internet Archive funciona con memorias USB y está constantemente al borde de sufrir una catastrófica filtración de seguridad? Acaba de suceder. ¡Vean a 31 millones de ustedes en HIBP!", se lee en una alerta de JavaScript que se muestra en el sitio archive.org vulnerado.

JavaScript alert shown on Archive.org

 El texto al que se refiere "HIBP" es el servicio de notificación de violaciones de datos Have I Been Pwned creado por Troy Hunt, con quien los actores de amenazas suelen compartir datos robados para agregarlos al servicio.

Hunt le dijo a BleepingComputer que el actor de amenazas compartió la base de datos de autenticación de Internet Archive hace nueve días y es un archivo SQL de 6,4 GB llamado "ia_users.sql". La base de datos contiene información de autenticación para los miembros registrados, incluidas sus direcciones de correo electrónico, nombres de pantalla, marcas de tiempo de cambio de contraseña, contraseñas con hash Bcrypt y otros datos internos.

La marca de tiempo más reciente en los registros robados es el 28 de septiembre de 2024, probablemente cuando se robó la base de datos.

Hunt dice que hay 31 millones de direcciones de correo electrónico únicas en la base de datos, y muchas están suscritas al servicio de notificación de violaciones de datos HIBP. Los datos pronto se agregarán a HIBP, lo que permitirá a los usuarios ingresar su correo electrónico y confirmar si sus datos fueron expuestos en esta violación.

 Se confirmó que los datos eran reales después de que Hunt se pusiera en contacto con los usuarios incluidos en las bases de datos, incluido el investigador de ciberseguridad Scott Helme, quien permitió a BleepingComputer compartir su registro expuesto.https://scotthelme.co.uk/

9887370, internetarchive@scotthelme.co.uk,$2a$10$Bho2e2ptPnFRJyJKIn5BiehIDiEwhjfMZFVRM9fRCarKXkemA3PxuScottHelme,2020-06-25,2020-06-25,internetarchive@scotthelme.co.uk,2020-06-25 13:22:52.7608520,\N0\N\N@scotthelme\N\N\N
Helme confirmó que la contraseña cifrada con bcrypt en el registro de datos coincidía con la contraseña cifrada con brcrypt almacenada en su administrador de contraseñas. También confirmó que la marca de tiempo en el registro de la base de datos coincidía con la fecha de la última vez que cambió la contraseña en su administrador de contraseñas.

 ​​​​​​​Password manager entry for archive.org

 Hunt dice que se puso en contacto con Internet Archive hace tres días y comenzó un proceso de divulgación, indicando que los datos se cargarían en el servicio en 72 horas, pero no ha recibido respuesta desde entonces.

No se sabe cómo los actores de la amenaza vulneraron Internet Archive y si se robaron otros datos.

Hoy temprano, Internet Archive sufrió un ataque DDoS, que ahora ha sido reivindicado por el grupo de hacktivistas BlackMeta, que dice que llevará a cabo más ataques.

 BleepingComputer se puso en contacto con Internet Archive con preguntas sobre el ataque, pero no hubo respuesta inmediata.

https://www.theverge.com/2024/10/9/24266419/internet-archive-ddos-attack-pop-up-message

 Al visitar Internet Archive (www.archive.org) el miércoles por la tarde, The Verge se encontró con una ventana emergente que decía que el sitio había sido hackeado. Poco después de las 9:00 p. m., hora del este de EE. UU., el fundador de Internet Archive, Brewster Kahle, confirmó la violación y dijo que el sitio web había sido desfigurado con la notificación a través de una biblioteca de JavaScript.

Esto es lo que decía la ventana emergente:

“¿Alguna vez has sentido que Internet Archive funciona con memorias USB y está constantemente al borde de sufrir una catastrófica violación de seguridad? Acaba de suceder. ¡Mira a 31 millones de ustedes en HIBP!”.

HIBP se refiere a Have I Been Pwned? (¿Me han hackeado?), un sitio web donde las personas pueden consultar si su información ha sido publicada o no en los datos filtrados de los ataques cibernéticos. El operador de HIBP, Troy Hunt, confirmó a Bleeping Computer que hace nueve días recibió un archivo que contenía “direcciones de correo electrónico, nombres de pantalla, marcas de tiempo de cambio de contraseña, contraseñas cifradas con Bcrypt y otros datos internos” para 31 millones de direcciones de correo electrónico únicas, y confirmó que era válido al comparar los datos con la cuenta de un usuario.

 Un tuit de HIBP decía que el 54 por ciento de las cuentas ya estaban en su base de datos debido a infracciones anteriores. En publicaciones en su cuenta, Hunt dio más detalles sobre el cronograma, desde que se puso en contacto con la IA sobre la infracción el 6 de octubre y siguió adelante con el proceso de divulgación hasta que su sitio fue desfigurado y atacado con DDoS hoy al mismo tiempo que cargaban los datos en HIBP para comenzar a notificar a los usuarios afectados.


 Después de cerrar el mensaje, el sitio se cargó normalmente, aunque lentamente.

A las 5:30 p. m., hora del este de EE. UU., la ventana emergente había desaparecido, pero también el resto del sitio, que no mostraba nada o mostraba un mensaje provisional que decía “Los servicios de Internet Archive están temporalmente fuera de línea” y dirigía a los visitantes a la cuenta del sitio en X para obtener actualizaciones.

Jason Scott, archivista y curador de software de Internet Archive, dijo que el sitio estaba sufriendo un ataque DDoS y publicó en Mastodon que “según su Twitter, lo están haciendo solo por hacerlo. Solo porque pueden. Ninguna declaración, ninguna idea, ninguna exigencia”.

Más tarde, el miércoles por la noche, Brewster Kahley de IA confirmó la violación en una publicación en Xhttps://x.com/brewster_kahle/status/1844183111514603812:

Lo que sabemos: ataque DDoS, rechazado por ahora; desfiguración de nuestro sitio web a través de la biblioteca JS; violación de nombres de usuario/correo electrónico/contraseñas cifradas con sal.

Lo que hemos hecho: deshabilitar la biblioteca JS, limpiar los sistemas, actualizar la seguridad.

Compartiremos más a medida que lo sepamos.

 Una cuenta en X llamada SN_Blackmeta dijo que estaba detrás del ataque e insinuó que se planeaba otro ataque para mañana. La cuenta también publicó sobre ataques DDoS contra el Archivo en mayo, y Scott había publicado anteriormente sobre ataques aparentemente dirigidos a interrumpir el Internet Archive.

Nos hemos puesto en contacto con la organización para obtener más información.

Actualización, 9 de octubre: Se agregó información de HIBP y BleepingComputer, y la confirmación de la violación por parte de Brewster Kahley.

No hay comentarios:

Publicar un comentario