Internet Archive

記事末尾に追記

Internet Archiveの “The Wayback Machine “が、脅威行為者によってウェブサイトを侵害され、3100万件のユニークなレコードを含むユーザー認証データベースを盗まれ、データ漏洩に見舞われた。

水曜日の午後、archive.orgの訪問者がハッカーによって作成されたJavaScriptのアラートを見始め、Internet Archiveが侵害されたというニュースが流れ始めた。

「インターネット・アーカイブが棒切れで動いていて、常に壊滅的なセキュリティ侵害に見舞われる寸前だと感じたことはないだろうか?それが今起きた。HIBPで3100万人に会いましょう!”と、侵害されたarchive.orgのサイトに表示されたJavaScriptの警告を読むことができる。

JavaScript alert shown on Archive.org
Archive.org
に表示されたJavaScriptアラート

HIBP “のテキストは、トロイ・ハントが作成したHave I Been Pwnedデータ侵害通知サービスである。

ハント氏によると、脅威者は9日前にInternet Archiveの認証データベースを共有しており、それは “ia_users.sql “という名前の6.4GBのSQLファイルだという。このデータベースには、電子メールアドレス、スクリーン名、パスワード変更のタイムスタンプ、Bcryptハッシュ化されたパスワード、その他の内部データなど、登録メンバーの認証情報が含まれている。

盗まれたレコードの最新のタイムスタンプは2024年9月28日で、データベースが盗まれた時期と思われる。

ハントによると、データベースには3100万件のユニークな電子メールアドレスがあり、その多くがHIBPのデータ漏洩通知サービスに加入しているという。このデータは間もなくHIBPに追加され、ユーザーは自分の電子メールを入力し、自分のデータが今回の情報漏洩で流出したかどうかを確認できるようになる。

ハント社は、サイバーセキュリティ研究者のスコット・ヘルム氏が暴露された記録を共有することを許可したことを含め、データベースに記載されているユーザーと連絡を取り、データが本物であることを確認した。

9887370, internetarchive@scotthelme.co.uk,$2a$10$Bho2e2ptPnFRJyJKIn5BiehIDiEwhjfMZFVRM9fRCarKXkemA3PxuScottHelme,2020-06-25,2020-06-25,internetarchive@scotthelme.co.uk,2020-06-25 13:22:52.7608520,N0NN@scotthelmeNNN

Helme氏は、データレコードのbcryptでハッシュ化されたパスワードが、彼のパスワード・マネージャーに保存されているbrcryptでハッシュ化されたパスワードと一致することを確認した。彼はまた、データベース・レコードのタイムスタンプが、パスワード・マネージャで最後にパスワードを変更した日付と一致していることも確認した。

​​​​​​​Password manager entry for archive.org
archive.orgのパスワードマネージャーエントリー
ソースはこちら:スコット・ヘルム

ハントによると、彼は3日前にインターネット・アーカイブに連絡し、72時間以内にデータをサービスにロードするとして開示プロセスを開始したが、それ以来返事がないという。

脅威行為者がどのようにしてInternet Archiveに侵入したのか、また他のデータが盗まれたのかどうかはわかっていない。

本日未明、Internet ArchiveはDDoS攻撃を受けたが、これは現在BlackMetaハクティビスト・グループによって主張されており、彼らはさらなる攻撃を行うとしている。

SN_BlackMeta tweet

この攻撃についてInternet Archiveに問い合わせたが、すぐに回答は得られなかった。

更新10/10/24:Internet Archiveの創設者であるBrewster Kahleは、昨夜Xで更新情報を共有し、データ漏洩を確認し、脅威の主体がJavaScriptライブラリを使用して訪問者に警告を表示したと述べた。

「知っていることDDOS攻撃を受け、今のところ撃退されている。JSライブラリ経由でウェブサイトが改ざんされ、ユーザー名/電子メール/塩漬け暗号化されたパスワードが流出した。

「我々が行ったこと:JSライブラリの無効化、システムのスクラビング、セキュリティのアップグレード。

今朝シェアされた2つ目のアップデートは、DDoS攻撃が再開され、archive.orgとopenlibrary.orgが再びオフラインになったと述べている。

Internet Archiveはデータ漏洩とDDoS攻撃の両方に直面しているが、この2つの攻撃が関連しているとは考えられていない。