Internet Archive hackeado, violação de dados afeta 31 milhões de usuários #ÚltimasNotícias

Atualizações adicionadas no final do artigo.

“The Wayback Machine” do Internet Archive sofreu uma violação de dados depois que um agente de ameaça comprometeu o site e roubou um banco de dados de autenticação de usuário contendo 31 milhões de registros únicos.

A notícia da violação começou a circular na tarde de quarta-feira, depois que os visitantes do archive.org começaram a ver um alerta JavaScript criado pelo hacker, informando que o Internet Archive foi violado.

“Você já sentiu como se o Internet Archive funcionasse em sticks e estivesse constantemente à beira de sofrer uma violação de segurança catastrófica? Simplesmente aconteceu. Veja 31 milhões de vocês no HIBP!”, diz um alerta de JavaScript mostrado no archive.org comprometido. site.

O texto “HIBP” se refere ao serviço de notificação de violação de dados Have I Been Pwned criado por Troy Hunt, com quem os agentes de ameaças geralmente compartilham dados roubados para serem adicionados ao serviço.

Hunt disse ao BleepingComputer que o agente da ameaça compartilhou o banco de dados de autenticação do Internet Archive há nove dias e é um arquivo SQL de 6,4 GB chamado “ia_users.sql”. O banco de dados contém informações de autenticação para membros registrados, incluindo seus endereços de e-mail, nomes de tela, carimbos de data e hora de alteração de senha, senhas com hash Bcrypt e outros dados internos.

O carimbo de data/hora mais recente nos registros roubados é 28 de setembro de 2024, provavelmente quando o banco de dados foi roubado.

Hunt diz que há 31 milhões de endereços de e-mail exclusivos no banco de dados, muitos deles inscritos no serviço de notificação de violação de dados HIBP. Os dados serão adicionados em breve ao HIBP, permitindo que os usuários insiram seu e-mail e confirmem se seus dados foram expostos nesta violação.

Os dados foram confirmados como reais depois que Hunt contatou usuários listados nos bancos de dados, incluindo o pesquisador de segurança cibernética Scott Helme, que permitiu que o BleepingComputer compartilhasse seu registro exposto.

9887370, internetarchive@scotthelme.co.uk,$2a$10$Bho2e2ptPnFRJyJKIn5BiehIDiEwhjfMZFVRM9fRCarKXkemA3PxuScottHelme,2020-06-25,2020-06-25,internetarchive@scotthelme.co.uk,2020-06-25 13:22:52.7608520,\N0\N\N@scotthelme\N\N\N

Helme confirmou que a senha com hash bcrypt no registro de dados correspondia à senha com hash bcrypt armazenada em seu gerenciador de senhas. Ele também confirmou que o carimbo de data/hora no registro do banco de dados correspondia à data em que ele alterou a senha pela última vez em seu gerenciador de senhas.

Hunt diz que entrou em contato com o Internet Archive há três dias e iniciou um processo de divulgação, informando que os dados seriam carregados no serviço em 72 horas, mas não recebeu resposta desde então.

Não se sabe como os agentes da ameaça violaram o Internet Archive e se algum outro dado foi roubado.

Hoje cedo, o Internet Archive sofreu um ataque DDoS, que agora foi reivindicado pelo grupo hacktivista BlackMeta, que afirma que realizará ataques adicionais.

BleepingComputer contatou o Internet Archive com perguntas sobre o ataque, mas nenhuma resposta foi imediatamente disponível.

Atualização 10/10/24: O fundador do Internet Archive, Brewster Kahle, compartilhou uma atualização sobre o X na noite passada, confirmando a violação de dados e afirmando que o ator da ameaça usou uma biblioteca JavaScript para mostrar os alertas aos visitantes.

“O que sabemos: ataque DDOS evitado por enquanto; desfiguração de nosso site por meio da biblioteca JS; violação de nomes de usuário/e-mail/senhas criptografadas com sal”, diz uma primeira atualização de status tuitada na noite passada.

“O que fizemos: desativamos a biblioteca JS, limpamos sistemas, atualizamos a segurança.”

Uma segunda atualização compartilhada esta manhã afirma que os ataques DDoS foram retomados, colocando archive.org e openlibrary.org offline novamente.

Embora o Internet Archive esteja enfrentando uma violação de dados e ataques DDoS ao mesmo tempo, não se acredita que os dois ataques estejam conectados.