- Se mostró un pop-up alterado a los visitantes de Internet Archive y además continuaron los ataques DDoS, mientras se hizo pública una advertencia de que quedaron expuestos datos de 31 millones de cuentas
- El fundador Brewster Kahle confirmó la intrusión poco después de las 9PM ET y señaló que la alerta fue insertada en el sitio web mediante una biblioteca de JavaScript
- El operador de Have I Been Pwned, Troy Hunt, dijo que el archivo que recibió hace 9 días contenía 31 millones de direcciones de correo electrónico únicas, y verificó su validez comparándolo con datos de cuentas de usuarios
- El archivo filtrado incluía direcciones de correo, nombres de pantalla, marcas de tiempo de cambio de contraseña, contraseñas con hash Bcrypt y otros datos internos; el 54% de las cuentas ya estaba en HIBP por filtraciones anteriores
- Al cerrar el pop-up, el sitio cargaba lentamente, pero hacia las 5:30PM ET el pop-up desapareció y en su lugar el sitio aparecía en blanco o solo mostraba un aviso temporal de fuera de línea
Confirmación de la alteración del sitio y de la intrusión
- Al visitar Internet Archive el miércoles por la tarde, aparecía un mensaje emergente que avisaba que el sitio había sido hackeado
- El pop-up incluía el texto de que Internet Archive “parece ir funcionando con palos y se siente como si estuviera al borde de una catastrophic security breach”, junto con “31 million of you on HIBP”
- Poco después de las 9PM ET, el fundador de Internet Archive, Brewster Kahle, confirmó la intrusión y dijo que el sitio web fue alterado con esa alerta mediante una biblioteca de JavaScript
Datos de cuentas entregados a HIBP
- HIBP significa Have I Been Pwned, un servicio que permite a los usuarios verificar si su información fue incluida en datos filtrados por ciberataques
- Troy Hunt, operador de HIBP, confirmó a BleepingComputer que hace 9 días recibió un archivo con 31 millones de direcciones de correo únicas
- El archivo incluía la siguiente información
- Direcciones de correo electrónico
- Nombres de pantalla
- Marcas de tiempo de cambio de contraseña
-
Contraseñas con hash Bcrypt
- Otros datos internos
- Hunt verificó la validez de esos datos comparándolos con cuentas de usuarios
Momento en que coincidieron el proceso de divulgación y el DDoS
- Según una publicación de HIBP, el 54% de las cuentas filtradas ya existía en la base de datos de HIBP por incidentes anteriores
- Troy Hunt también compartió el calendario de divulgación en su cuenta
- El 6 de octubre contactó a Internet Archive para informar de la intrusión
- Se inició el proceso de divulgación
- Justo cuando iba a cargar los datos en HIBP para notificar a los usuarios afectados, ocurrieron al mismo tiempo la alteración del sitio y el DDoS
Cambios en el estado de acceso al sitio
- Después de cerrar el pop-up, el sitio cargaba normalmente pero funcionaba lento
- Hacia las 5:30PM ET, el pop-up había desaparecido, pero el sitio también había desaparecido con él
- Los visitantes no veían nada o solo el aviso temporal de fuera de línea “Internet Archive services are temporarily offline”, con una referencia a la cuenta de Internet Archive
1 comentarios
Opiniones en Hacker News
Desde la perspectiva de privacidad, también es importante señalar que cualquiera que haya subido algo a IA ya tiene su dirección de correo electrónico expuesta en los metadatos públicos.
No es un hecho muy conocido, pero todos los metadatos de subidas que pueden verse públicamente incluyen el correo electrónico de la cuenta de IA del uploader.
Es malo también desde el punto de vista de seguridad, pero es muy probable que muchos usuarios que habían subido contenido no conocieran ese detalle.
Antes de que los filtros de spam mejoraran, era común ofuscarlas un poco para evitar la recolección de direcciones, pero esa época parece haber quedado atrás, y además es un problema distinto al de la privacidad.
Si alguien sube algo y no quiere que jamás lo rastreen, de todos modos debería usar una dirección descartable.
Si le diste una dirección “privada” al administrador de un servicio sin prohibir explícitamente que se divulgara más, podría verse como algo parecido a decirle algo a Alice sin pedirle que no se lo cuente a Bob.
No solo el XML de las subidas incluye la dirección de correo, también el perfil; cualquiera puede acceder con solo cambiar la URL de https://archive.org/details/@foobar a https://archive.org/download/foobar.
Es decir, tengas o no subidas, con solo tener una cuenta registrada podrías quedar expuesto.
https://help.archive.org/help/accounts-a-basic-guide-2/
En teoría, alguien podría scrapear las páginas y armar una lista de direcciones de correo expuestas.
Descargué desde Internet Archive el sitio web de un viejo amigo y lo volví a subir.
Él falleció, pero me alegró poder revivir ese sitio.
Sería una lástima que IA desapareciera para siempre, pero de todos modos necesitamos una solución distribuida.
No es buena idea que nuestro patrimonio colectivo sea administrado por una sola organización enorme.
Muy parecido a los torrents, pero con más peers y más fragmentos de datos que semillas con copias completas.
Podría ser una base de datos enorme para todos, por supuesto open source, que ayude a la red con parches de seguridad como Tor, pero sin un verdadero “control tipo panel de administración” sobre toda la red.
Ya hago algo parecido a menor escala con caché de archivos estáticos de sitios web, pero en un nivel muchísimo más pequeño.
Los desafíos de seguridad serían enormes, aunque quizá no imposibles de superar. IPFS se acerca, pero vuelve a estar más centrado en semillas.
Si alguien conoce algo parecido, me gustaría saberlo.
Si las criptomonedas no hubieran sido ya demonizadas, quizá un incentivo tipo criptomoneda basada en seeding habría sido excelente.
Nadie quiere gastar dinero y ancho de banda alojando una película o un libro que solo les importa a unas pocas personas.
Más allá de usar wget o curl, ¿hay algún tip para descargar desde IA un sitio web completo y utilizable?
Aquí hay más información sobre la brecha de datos. La base de datos robada contiene 31 millones de registros.
https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/
Acabo de ver que el sitio muestra esta advertencia:
“¿Alguna vez sintieron que Internet Archive funcionaba sostenido con palitos y que estaba a punto de sufrir una brecha de seguridad catastrófica en cualquier momento? Acaba de pasar. ¡Nos vemos en HIBP, 31 millones de ustedes!”
Los mensajes de error amigables o que intentan ser graciosos a veces son difíciles de distinguir.
Parece que alguien comprometió un subdominio para Polyfill.
Actualización: ahora el subdominio parece volver a responder normalmente.
Es uno de esos momentos en los que uno espera que las maldiciones realmente funcionen contra quien hizo esta travesura.
“Que tú y tus descendientes, como castigo por tus malas acciones, sean mordidos por 10 mil pulgas durante 10 mil noches”
Quizá no sea el mejor momento para decirlo, pero es sorprendentemente fácil recorrer una colección con elementos y obtener todos los correos electrónicos junto con los nombres de usuario
https://archive.org/metadata/naturally_a_girl/metadata
De una forma u otra, tarde o temprano iba a aparecer alguien que recopilara masivamente los correos electrónicos vinculados a nombres de usuario
Me da algo de curiosidad cómo el hacker vulneró la base de datos y obtuvo las contraseñas
Sinceramente, parece un defecto de diseño
https://github.com/internetarchive/iaux/issues/892
¿Por qué atacar justamente a Internet Archive? Ataquen otra cosa, carajo, no se metan con el archivo
Parece que este hilo será uno de los primeros lugares donde quede registrado este incidente. Creo que aparece en los primeros resultados de Google
Ya hay dos cuentas recién creadas por esto
Durante años usé una dirección de Gmail para mi cuenta de IA, y hace 9 meses cambié el correo a una dirección enmascarada creada con mi propio dominio
Pero ahora veo que mi dirección de Gmail seguía almacenada y fue incluida en la filtración. ¿Por qué?
Entiendo que puedan guardar el historial de cambios, pero ¿por qué conservarlo?
En la información actual de la cuenta, cambié la contraseña por otra cadena aleatoria generada por mi administrador de contraseñas, y también eliminé la dirección de correo enmascarada y creé una nueva
En adelante, algo así no debería ser un gran problema para mí
Lo primero que revisé en HaveIBeenPwned fue el primer correo, pero no aparece en esta filtración
Algunas otras cuentas que usan un correo y una contraseña exclusivos para IA sí aparecen correctamente en esta filtración
No puedo explicar por qué se dio esa situación, pero también pensé justo en eso y quería dejar un caso contrario