1 puntos por GN⁺ 2024-10-10 | 1 comentarios | Compartir por WhatsApp
  • Se mostró un pop-up alterado a los visitantes de Internet Archive y además continuaron los ataques DDoS, mientras se hizo pública una advertencia de que quedaron expuestos datos de 31 millones de cuentas
  • El fundador Brewster Kahle confirmó la intrusión poco después de las 9PM ET y señaló que la alerta fue insertada en el sitio web mediante una biblioteca de JavaScript
  • El operador de Have I Been Pwned, Troy Hunt, dijo que el archivo que recibió hace 9 días contenía 31 millones de direcciones de correo electrónico únicas, y verificó su validez comparándolo con datos de cuentas de usuarios
  • El archivo filtrado incluía direcciones de correo, nombres de pantalla, marcas de tiempo de cambio de contraseña, contraseñas con hash Bcrypt y otros datos internos; el 54% de las cuentas ya estaba en HIBP por filtraciones anteriores
  • Al cerrar el pop-up, el sitio cargaba lentamente, pero hacia las 5:30PM ET el pop-up desapareció y en su lugar el sitio aparecía en blanco o solo mostraba un aviso temporal de fuera de línea

Confirmación de la alteración del sitio y de la intrusión

  • Al visitar Internet Archive el miércoles por la tarde, aparecía un mensaje emergente que avisaba que el sitio había sido hackeado
  • El pop-up incluía el texto de que Internet Archive “parece ir funcionando con palos y se siente como si estuviera al borde de una catastrophic security breach”, junto con “31 million of you on HIBP”
  • Poco después de las 9PM ET, el fundador de Internet Archive, Brewster Kahle, confirmó la intrusión y dijo que el sitio web fue alterado con esa alerta mediante una biblioteca de JavaScript

Datos de cuentas entregados a HIBP

  • HIBP significa Have I Been Pwned, un servicio que permite a los usuarios verificar si su información fue incluida en datos filtrados por ciberataques
  • Troy Hunt, operador de HIBP, confirmó a BleepingComputer que hace 9 días recibió un archivo con 31 millones de direcciones de correo únicas
  • El archivo incluía la siguiente información
    • Direcciones de correo electrónico
    • Nombres de pantalla
    • Marcas de tiempo de cambio de contraseña
    • Contraseñas con hash Bcrypt

      • Otros datos internos
      • Hunt verificó la validez de esos datos comparándolos con cuentas de usuarios

Momento en que coincidieron el proceso de divulgación y el DDoS

  • Según una publicación de HIBP, el 54% de las cuentas filtradas ya existía en la base de datos de HIBP por incidentes anteriores
  • Troy Hunt también compartió el calendario de divulgación en su cuenta
    • El 6 de octubre contactó a Internet Archive para informar de la intrusión
    • Se inició el proceso de divulgación
    • Justo cuando iba a cargar los datos en HIBP para notificar a los usuarios afectados, ocurrieron al mismo tiempo la alteración del sitio y el DDoS

Cambios en el estado de acceso al sitio

  • Después de cerrar el pop-up, el sitio cargaba normalmente pero funcionaba lento
  • Hacia las 5:30PM ET, el pop-up había desaparecido, pero el sitio también había desaparecido con él
  • Los visitantes no veían nada o solo el aviso temporal de fuera de línea “Internet Archive services are temporarily offline”, con una referencia a la cuenta de Internet Archive

1 comentarios

 
GN⁺ 2024-10-10
Opiniones en Hacker News
  • Desde la perspectiva de privacidad, también es importante señalar que cualquiera que haya subido algo a IA ya tiene su dirección de correo electrónico expuesta en los metadatos públicos.
    No es un hecho muy conocido, pero todos los metadatos de subidas que pueden verse públicamente incluyen el correo electrónico de la cuenta de IA del uploader.
    Es malo también desde el punto de vista de seguridad, pero es muy probable que muchos usuarios que habían subido contenido no conocieran ese detalle.

    • Surge una pregunta interesante: ¿las direcciones de correo electrónico deberían ser privadas? Las direcciones físicas no son privadas, y podría verse como algo hasta cierto punto similar, como muchos conceptos de computación.
      Antes de que los filtros de spam mejoraran, era común ofuscarlas un poco para evitar la recolección de direcciones, pero esa época parece haber quedado atrás, y además es un problema distinto al de la privacidad.
      Si alguien sube algo y no quiere que jamás lo rastreen, de todos modos debería usar una dirección descartable.
      Si le diste una dirección “privada” al administrador de un servicio sin prohibir explícitamente que se divulgara más, podría verse como algo parecido a decirle algo a Alice sin pedirle que no se lo cuente a Bob.
    • No se limita a las subidas: aplica a todo lo que use la dirección de correo electrónico como identificador único de usuario.
      No solo el XML de las subidas incluye la dirección de correo, también el perfil; cualquiera puede acceder con solo cambiar la URL de https://archive.org/details/@foobar a https://archive.org/download/foobar.
      Es decir, tengas o no subidas, con solo tener una cuenta registrada podrías quedar expuesto.
      https://help.archive.org/help/accounts-a-basic-guide-2/
    • Eso por sí solo ya es bastante grave. En sí mismo es un bug de privacidad y una filtración de datos.
      En teoría, alguien podría scrapear las páginas y armar una lista de direcciones de correo expuestas.
    • Una solución es usar una dirección de correo única para cada sitio y, si el sitio se ve comprometido, cambiar esa dirección y mandar la anterior al filtro de spam.
  • Descargué desde Internet Archive el sitio web de un viejo amigo y lo volví a subir.
    Él falleció, pero me alegró poder revivir ese sitio.
    Sería una lástima que IA desapareciera para siempre, pero de todos modos necesitamos una solución distribuida.
    No es buena idea que nuestro patrimonio colectivo sea administrado por una sola organización enorme.

    • Siempre he pensado eso. Sería interesante hacer que los usuarios guarden pequeñas piezas de datos redundantes en dispositivos conectados a Internet.
      Muy parecido a los torrents, pero con más peers y más fragmentos de datos que semillas con copias completas.
      Podría ser una base de datos enorme para todos, por supuesto open source, que ayude a la red con parches de seguridad como Tor, pero sin un verdadero “control tipo panel de administración” sobre toda la red.
      Ya hago algo parecido a menor escala con caché de archivos estáticos de sitios web, pero en un nivel muchísimo más pequeño.
      Los desafíos de seguridad serían enormes, aunque quizá no imposibles de superar. IPFS se acerca, pero vuelve a estar más centrado en semillas.
      Si alguien conoce algo parecido, me gustaría saberlo.
    • Para eso se inventaron BitTorrent y otras soluciones P2P, pero la realidad es esta: la RIAA, la MPAA y la ESA les dieron una reputación terrible a estas tecnologías, y a nadie le gusta mantener semillas.
      Si las criptomonedas no hubieran sido ya demonizadas, quizá un incentivo tipo criptomoneda basada en seeding habría sido excelente.
    • Eso es justamente el protocolo torrent, y no funciona bien.
      Nadie quiere gastar dinero y ancho de banda alojando una película o un libro que solo les importa a unas pocas personas.
    • Me gustaría seguir probando algo así para sitios antiguos. Algo como un mini IA personal.
      Más allá de usar wget o curl, ¿hay algún tip para descargar desde IA un sitio web completo y utilizable?
    • Especialmente si se trata de una organización que ya ha demostrado que no siempre es justa, con más razón no debería dejarse todo en un solo lugar.
  • Aquí hay más información sobre la brecha de datos. La base de datos robada contiene 31 millones de registros.
    https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/

    • Dicen que los atacantes suelen compartir los datos robados con Have I Been Pwned, creado por Troy Hunt; ¿de verdad pasa eso? ¿Por qué lo hacen?
    • Dicen que pronto se agregará a HIBP, pero mi dirección de correo creada específicamente para archive.org todavía no aparece.
    • Lo que me da curiosidad es cómo Scott Helme terminó recibiendo un hash de contraseña con su nombre.
    • Es un amable recordatorio de generar una contraseña única para cada cuenta, para que cuando se filtre una base de datos como esta no sea un problema fuera de ese sitio.
  • Acabo de ver que el sitio muestra esta advertencia:
    “¿Alguna vez sintieron que Internet Archive funcionaba sostenido con palitos y que estaba a punto de sufrir una brecha de seguridad catastrófica en cualquier momento? Acaba de pasar. ¡Nos vemos en HIBP, 31 millones de ustedes!”

    • Curiosamente, yo ya aparezco en HIBP incontables veces.
    • Si se trata de un actor malicioso, ¿hay que asumir que se filtraron los correos y nombres de las cuentas?
    • No sé si esto es una advertencia real o una señal del hackeo.
      Los mensajes de error amigables o que intentan ser graciosos a veces son difíciles de distinguir.
  • Parece que alguien comprometió un subdominio para Polyfill.
    Actualización: ahora el subdominio parece volver a responder normalmente.

    • ¿Eso significa que IA incluía un polyfill de JavaScript desde algún subdominio, y que eso fue lo comprometido o la ruta por la que apareció la advertencia?
    • Eso podría explicar en cierta medida cómo inyectaron el popup de alerta de JavaScript.
  • Es uno de esos momentos en los que uno espera que las maldiciones realmente funcionen contra quien hizo esta travesura.
    “Que tú y tus descendientes, como castigo por tus malas acciones, sean mordidos por 10 mil pulgas durante 10 mil noches”

  • Quizá no sea el mejor momento para decirlo, pero es sorprendentemente fácil recorrer una colección con elementos y obtener todos los correos electrónicos junto con los nombres de usuario
    https://archive.org/metadata/naturally_a_girl/metadata
    De una forma u otra, tarde o temprano iba a aparecer alguien que recopilara masivamente los correos electrónicos vinculados a nombres de usuario
    Me da algo de curiosidad cómo el hacker vulneró la base de datos y obtuvo las contraseñas

    • No tenía idea de esto. Si hubiera sabido que los correos eran públicos, sin duda habría hecho algunas cosas de forma distinta
      Sinceramente, parece un defecto de diseño
    • Sí, llevan tiempo ignorando las preocupaciones relacionadas con los correos electrónicos
      https://github.com/internetarchive/iaux/issues/892
  • ¿Por qué atacar justamente a Internet Archive? Ataquen otra cosa, carajo, no se metan con el archivo

    • Necesitamos algún tipo de archivo distribuido al que todos puedan acceder fácilmente
  • Parece que este hilo será uno de los primeros lugares donde quede registrado este incidente. Creo que aparece en los primeros resultados de Google
    Ya hay dos cuentas recién creadas por esto

    • Veo más de dos
    • Busqué por todos lados y no encontré ninguna mención, así que me di cuenta de que acababa de pasar
  • Durante años usé una dirección de Gmail para mi cuenta de IA, y hace 9 meses cambié el correo a una dirección enmascarada creada con mi propio dominio
    Pero ahora veo que mi dirección de Gmail seguía almacenada y fue incluida en la filtración. ¿Por qué?
    Entiendo que puedan guardar el historial de cambios, pero ¿por qué conservarlo?
    En la información actual de la cuenta, cambié la contraseña por otra cadena aleatoria generada por mi administrador de contraseñas, y también eliminé la dirección de correo enmascarada y creé una nueva
    En adelante, algo así no debería ser un gran problema para mí

    • Me pasó algo parecido. Al principio me registré con mi cuenta principal y después cambié el correo de IA a una dirección más privada
      Lo primero que revisé en HaveIBeenPwned fue el primer correo, pero no aparece en esta filtración
      Algunas otras cuentas que usan un correo y una contraseña exclusivos para IA sí aparecen correctamente en esta filtración
      No puedo explicar por qué se dio esa situación, pero también pensé justo en eso y quería dejar un caso contrario
    • Es posible que la intrusión haya ocurrido antes de lo reportado, o que se haya prolongado durante más tiempo