1 Punkte von GN⁺ 2024-10-10 | 1 Kommentare | Auf WhatsApp teilen
  • Besuchern des Internet Archive wurde ein manipuliertes Popup auf der Website angezeigt, zudem folgte ein DDoS-Angriff; veröffentlicht wurde eine Warnung, dass Daten von 31 Millionen Konten offengelegt worden seien
  • Gründer Brewster Kahle bestätigte den Einbruch kurz nach 9 PM ET und erklärte, die Meldung sei über eine JavaScript-Bibliothek in die Website eingeschleust worden
  • Troy Hunt, Betreiber von Have I Been Pwned, erhielt vor neun Tagen eine Datei mit 31 Millionen eindeutigen E-Mail-Adressen und bestätigte deren Gültigkeit durch Abgleich mit Nutzerkontodaten
  • Die geleakte Datei enthielt E-Mail-Adressen, Anzeigenamen, Zeitstempel für Passwortänderungen, Bcrypt-gehashte Passwörter und weitere interne Daten; 54 % der Konten waren bereits durch frühere Leaks in HIBP enthalten
  • Nach dem Schließen des Popups lud die Website langsam, doch um 5:30 PM ET war das Popup verschwunden; stattdessen war die Website leer oder zeigte nur einen Hinweis auf vorübergehende Offline-Schaltung

Manipulation der Website und Bestätigung des Einbruchs

  • Beim Besuch des Internet Archive am Mittwochnachmittag erschien eine Popup-Meldung, die mitteilte, dass die Website gehackt worden sei
  • Im Popup stand sinngemäß, ob es sich beim Internet Archive je so angefühlt habe, als laufe es „auf Stöcken“ und stehe kurz vor einem catastrophic security breach, zusammen mit dem Hinweis „31 million of you on HIBP“
  • Kurz nach 9 PM ET bestätigte Internet-Archive-Gründer Brewster Kahle den Einbruch und erklärte, die Website sei über eine JavaScript-Bibliothek mit dieser Meldung manipuliert worden

An HIBP übermittelte Kontodaten

  • HIBP steht für Have I Been Pwned, einen Dienst, mit dem Nutzer prüfen können, ob ihre Daten in durch Cyberangriffe geleakten Datensätzen enthalten sind
  • HIBP-Betreiber Troy Hunt bestätigte gegenüber BleepingComputer, dass er vor neun Tagen eine Datei mit 31 Millionen eindeutigen E-Mail-Adressen erhalten habe
  • Die Datei enthielt folgende Informationen
    • E-Mail-Adressen
    • Anzeigenamen
    • Zeitstempel für Passwortänderungen
    • Bcrypt-gehashte Passwörter

      • Weitere interne Daten
      • Hunt bestätigte die Gültigkeit der Daten durch Abgleich mit Nutzerkonten

Veröffentlichungsprozess und zeitgleicher DDoS

  • Laut einem Beitrag von HIBP waren 54 % der geleakten Konten aufgrund früherer Sicherheitsvorfälle bereits in der HIBP-Datenbank vorhanden
  • Troy Hunt teilte den Veröffentlichungszeitplan auch über seinen Account
    • Am 6. Oktober kontaktierte er das Internet Archive wegen des Sicherheitsvorfalls
    • Der Veröffentlichungsprozess wurde eingeleitet
    • Genau zu dem Zeitpunkt, als die Daten in HIBP geladen und Benachrichtigungen an betroffene Nutzer verschickt werden sollten, traten die Website-Manipulation und der DDoS gleichzeitig auf

Veränderungen beim Website-Zugriff

  • Nach dem Schließen des Popups lud die Website normal, arbeitete jedoch langsam
  • Um 5:30 PM ET war das Popup verschwunden, die Website jedoch ebenfalls nicht mehr erreichbar
  • Besuchern wurde entweder gar nichts angezeigt oder ein vorübergehender Offline-Hinweis mit dem Text „Internet Archive services are temporarily offline“, der auf den Account des Internet Archive verwies

1 Kommentare

 
GN⁺ 2024-10-10
Meinungen auf Hacker News
  • Aus Datenschutzsicht ist außerdem wichtig: Wer jemals etwas bei IA hochgeladen hat, dessen E-Mail-Adresse ist bereits in öffentlichen Metadaten offengelegt
    Es ist nicht allgemein bekannt, aber alle öffentlich einsehbaren Upload-Metadaten enthalten die E-Mail-Adresse des IA-Kontos des Uploaders
    Das ist auch aus Sicherheitssicht schlecht, und viele Nutzer mit Upload-Erfahrung wussten dieses Detail wahrscheinlich nicht

    • Daraus ergibt sich eine interessante Frage: Sollten E-Mail-Adressen privat sein? Gebäudeadressen sind nicht privat, und man könnte sie bis zu einem gewissen Grad als ähnlich zu mehreren Computing-Konzepten ansehen
      Bevor Spamfilter besser wurden, war es üblich, Adressen etwas zu verschleiern, um Harvesting zu verhindern; diese Zeiten scheinen vorbei zu sein, und das ist ohnehin ein anderes Thema als Datenschutz
      Wenn jemand nach einem Upload auf keinen Fall zurückverfolgt werden will, sollte er ohnehin eine Wegwerfadresse verwenden
      Wenn man einem Dienstbetreiber eine „private“ Adresse gibt, ohne ausdrücklich eine weitere Veröffentlichung zu untersagen, ist das ein bisschen so, als würde man Alice etwas sagen, ohne zu verlangen, dass sie es Bob nicht weitererzählt
    • Das gilt nicht nur für Uploads, sondern für alles, bei dem E-Mail-Adressen als eindeutige Nutzerkennungen verwendet werden
      Nicht nur das XML der Uploads, sondern auch Profile enthalten die E-Mail-Adresse; jeder kann darauf zugreifen, indem er in der URL einfach https://archive.org/details/@foobar zu https://archive.org/download/foobar ändert
      Das heißt: Schon ein registriertes Konto kann offengelegt werden, unabhängig davon, ob etwas hochgeladen wurde
      https://help.archive.org/help/accounts-a-basic-guide-2/
    • Das allein ist schon schlimm genug. Es ist für sich genommen ein Datenschutz-Bug und ein Datenleck
      Theoretisch könnte jemand Seiten scrapen und eine Liste offengelegter E-Mail-Adressen erstellen
    • Eine Lösung ist, für jede Website eine eigene E-Mail-Adresse zu verwenden und, wenn die Website kompromittiert wird, diese Adresse zu ändern und die alte in den Spamfilter zu stecken
  • Ich habe früher die Website eines alten Freundes aus dem Internet Archive heruntergeladen und wieder online gestellt
    Er ist verstorben, aber ich war froh, die Seite wiederbeleben zu können
    Es wäre bedauerlich, wenn IA dauerhaft verschwinden würde, aber so oder so brauchen wir eine dezentrale Lösung
    Es ist keine gute Idee, dass unser gemeinsames Erbe von einer einzigen riesigen Organisation verwaltet wird

    • Ich habe mir so etwas immer vorgestellt. Es wäre interessant, wenn Nutzer auf mit dem Internet verbundenen Geräten kleine Mengen redundanter Datenstücke speichern könnten
      Sehr ähnlich wie Torrents, aber mit mehr Peers und mehr Datenstücken statt Seeds mit vollständigen Kopien
      Man könnte eine riesige Datenbank für alle betreiben, sie selbstverständlich Open Source machen und wie bei Tor das Netzwerk durch Sicherheits-Patches unterstützen, ohne echte „Admin-Dashboard-artige Kontrolle“ über das gesamte Netzwerk zu haben
      Ähnliches machen wir im kleineren Maßstab bereits mit dem Caching statischer Website-Dateien, aber auf einem viel kleineren Niveau
      Die Sicherheitsprobleme wären enorm, aber vielleicht nicht unüberwindbar. IPFS kommt dem nahe, ist aber wieder eher seed-zentriert
      Falls jemand etwas Ähnliches kennt, würde ich gern davon hören
    • Genau deshalb wurden BitTorrent und andere P2P-Lösungen erfunden, aber die Realität sieht so aus: RIAA, MPAA und ESA haben diesen Technologien einen schrecklichen Ruf verpasst, und niemand hält gern Seeds am Leben
      Wenn Kryptowährungen nicht bereits verteufelt wären, hätten Anreize wie eine seedingbasierte Kryptowährung großartig sein können
    • Das ist im Grunde das Torrent-Protokoll, und es funktioniert nicht gut
      Niemand will Geld und Bandbreite dafür ausgeben, Filme oder Bücher zu hosten, um die sich nur ein paar Leute kümmern
    • Für alte Websites würde ich so etwas gern weiter ausprobieren. Eine Art persönliches Mini-IA
      Gibt es Tipps, wie man außer mit wget oder curl eine vollständige, nutzbare Website aus IA herunterladen kann?
    • Man sollte es erst recht nicht einer einzigen Stelle überlassen, insbesondere wenn diese Organisation bereits gezeigt hat, dass sie nicht immer fair ist
  • Weitere Informationen zur Datenschutzverletzung gibt es hier. Die gestohlene Datenbank enthält 31 Millionen Datensätze
    https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/

    • Es heißt, Angreifer würden gestohlene Daten häufig mit Troy Hunts Have I Been Pwned teilen; ist das wirklich so? Warum?
    • Es soll demnächst zu HIBP hinzugefügt werden, aber meine eigens für archive.org angelegte E-Mail-Adresse taucht dort noch nicht auf
    • Was mich interessiert: Wie kam Scott Helme an einen Passwort-Hash, der seinen Namen enthielt?
    • Eine freundliche Erinnerung, für jedes Konto ein eindeutiges Passwort zu generieren, damit solche Datenbanklecks außerhalb der jeweiligen Website kein Problem darstellen
  • Ich habe gerade gesehen, dass die Website diese Warnung anzeigt:
    „Hattet ihr je das Gefühl, dass das Internet Archive auf Stöcken läuft und jederzeit eine katastrophale Sicherheitsverletzung erleiden könnte? Gerade ist es passiert. Wir sehen 31 Millionen von euch bei HIBP!“

    • Lustigerweise stehe ich ohnehin schon unzählige Male in HIBP
    • Sollte man als böswilliger Akteur davon ausgehen, dass Konto-E-Mail und Name geleakt wurden?
    • Ich weiß nicht, ob das eine echte Warnung oder ein Hack-Indiz ist
      Freundliche oder humorvoll gemeinte Fehlermeldungen sind manchmal schwer einzuordnen
  • Es sieht so aus, als hätte jemand eine Subdomain für Polyfill kompromittiert
    Update: Inzwischen scheint die Subdomain wieder normal zu antworten

    • Heißt das, IA hat von irgendeiner Subdomain ein JavaScript-Polyfill eingebunden, und dieses wurde kompromittiert oder war der Pfad, über den die Warnung erschien?
    • Das würde zumindest teilweise erklären, wie das JavaScript-Warn-Popup injiziert wurde
  • Das ist so ein Moment, in dem man hofft, dass Flüche gegen die Person, die diesen Streich gespielt hat, tatsächlich wirken
    „Mögen du und deine Nachkommen als Strafe für eure Untat zehntausend Nächte lang von zehntausend Flöhen gebissen werden“

  • Es ist vielleicht kein guter Zeitpunkt, das zu sagen, aber es ist überraschend einfach, eine Collection mit Einträgen durchzugehen und zusammen mit dem Benutzernamen alle E-Mail-Adressen abzurufen
    https://archive.org/metadata/naturally_a_girl/metadata
    Irgendwann musste zwangsläufig jemand massenhaft E-Mail-Adressen einsammeln, die in irgendeiner Form an Benutzernamen hängen
    Ich bin allerdings etwas neugierig, wie der Hacker in die Datenbank eingedrungen ist und an die Passwörter gekommen ist

    • Davon wusste ich überhaupt nichts. Wenn ich gewusst hätte, dass E-Mail-Adressen öffentlich sind, hätte ich definitiv einiges anders gemacht
      Ehrlich gesagt sieht das nach einem Designfehler aus
    • Stimmt, die Bedenken rund um E-Mails wurden immer wieder ignoriert
      https://github.com/internetarchive/iaux/issues/892
  • Warum ausgerechnet das Internet Archive angreifen? Greift doch etwas anderes an, aber lasst das verdammte Archiv in Ruhe

    • Wir brauchen irgendeine Form von dezentralem Archiv, auf das alle leicht zugreifen können
  • Dieser Thread dürfte einer der ersten Orte sein, an denen dieser Vorfall dokumentiert wird. Er scheint ganz oben bei Google aufzutauchen
    Es gibt bereits zwei neu erstellte Accounts deswegen

    • Es sieht nach mehr als zwei aus
    • Ich habe überall gesucht und nirgends eine Erwähnung gefunden, da wurde mir klar, dass es gerade erst passiert sein muss
  • Ich habe mein IA-Konto jahrelang mit einer Gmail-Adresse genutzt und die E-Mail vor 9 Monaten auf eine Masking-Adresse unter meiner eigenen Domain geändert
    Jetzt sehe ich aber, dass meine Gmail-Adresse weiterhin gespeichert war und im Leak enthalten ist. Warum?
    Ich verstehe, dass man eine Änderungshistorie speichern kann, aber warum muss man sie aufbewahren?
    Bei den aktuellen Kontoinformationen habe ich das Passwort durch eine andere zufällige Zeichenfolge aus meinem Passwortmanager ersetzt und die Masking-E-Mail-Adresse gelöscht und neu erstellt
    Künftig sollte so etwas für mich kein großes Problem mehr sein

    • Bei mir war es ähnlich. Anfangs habe ich mich mit meinem Hauptkonto registriert und später die IA-E-Mail auf eine privatere Adresse geändert
      Das Erste, was ich bei HaveIBeenPwned geprüft habe, war die erste E-Mail, aber sie taucht in diesem Leak nicht auf
      Einige andere Konten, die dieselbe IA-spezifische E-Mail und dasselbe Passwort verwenden, werden alle korrekt in diesem Leak angezeigt
      Ich kann nicht erklären, warum es dazu kam, aber ich hatte genau denselben Gedanken und wollte auch ein Gegenbeispiel hinterlassen
    • Möglicherweise fand der Einbruch früher statt als berichtet oder lief über einen längeren Zeitraum