圈小蛙
互联网档案馆(Internet Archive)的“Wayback Machine”遭遇数据泄露,一名威胁行为者入侵了该网站并窃取了包含3100万条唯一记录的用户身份验证数据库。
周三下午,archive.org网站的访问者开始看到黑客创建的JavaScript警报,声称互联网档案馆遭到入侵,有关入侵的消息开始流传。
“您是否曾感觉互联网档案馆运行不稳定,并且随时处于遭受灾难性安全漏洞的边缘?这刚刚发生了。HIBP上有3100万个这样的人!”受感染的archive.org网站上显示的JavaScript警报写道。
文字“HIBP”指的是Troy Hunt创建的Have I Been Pwned数据泄露通知服务,威胁行为者通常与其共享被盗数据以添加到该服务中。
亨特告诉BleepingComputer,威胁行为者9天前共享了Internet Archive的身份验证数据库,它是一个名为“ia_users.sql”的6.4GB大小的SQL文件。该数据库包含注册成员的身份验证信息,包括他们的电子邮件地址、屏幕名称、密码更改时间戳、Bcrypt哈希密码和其他内部数据。
被盗记录的最新时间戳是2024年9月28日,很可能是数据库被盗的时间。
亨特表示,数据库中有3100万个唯一电子邮件地址,其中许多订阅了HIBP数据泄露通知服务。这些数据将很快添加到HIBP,让用户可以输入他们的电子邮件并确认他们的数据是否在此次泄露中被泄露。
在亨特联系了数据库中列出的用户后,这些数据被证实是真实的,其中包括网络安全研究员斯科特·赫尔姆(Scott Helme),他分享泄露的记录样本:
9887370,[email protected],$2a$10$Bho2e2ptPnFRJyJKIn5BiehIDiEwhjfMZFVRM9fRCarKXkemA3PxuScottHelme,2020-06-25,2020-06-25,[email protected],2020-06-2513:22:52.7608520,\N0\N\N@scotthelme\N\N\N
Helme确认数据记录中的bcrypt哈希密码与存储在其密码管理器中的brcrypt哈希密码相匹配。他还确认数据库记录中的时间戳与他上次在密码管理器中更改密码的日期相匹配。
亨特说,他三天前联系了互联网档案馆并开始了披露流程,并表示数据将在72小时内加载到该服务中,但此后他没有收到回复。
目前尚不清楚威胁行为者是如何侵入互联网档案馆的,以及是否有其他数据被盗。
今天早些时候,互联网档案馆遭受了DDoS攻击,目前BlackMeta黑客组织已声称对此负责,并表示将进行更多攻击。
互联网档案馆创始人Brewster Kahle昨晚在X上分享了更新,证实了数据泄露,并指出威胁行为者使用JavaScript库向访问者显示警报。
“我们所知:DDOS攻击目前已被抵御;我们的网站通过JS库遭到破坏;用户名/电子邮件/加盐加密的密码已被泄露,”昨晚发布的第一条状态更新推文中写道。
“我们所做的是:禁用JS库、清理系统、升级安全性。”
今天早上分享的第二条更新指出,DDoS攻击已经恢复,导致archive.org和openlibrary.org再次下线。
尽管互联网档案馆同时面临数据泄露和DDoS攻击,但人们认为这两次攻击并无关联。