- Besuchern des Internet Archive wurde ein manipuliertes Popup auf der Website angezeigt, zudem folgte ein DDoS-Angriff; veröffentlicht wurde eine Warnung, dass Daten von 31 Millionen Konten offengelegt worden seien
- Gründer Brewster Kahle bestätigte den Einbruch kurz nach 9 PM ET und erklärte, die Meldung sei über eine JavaScript-Bibliothek in die Website eingeschleust worden
- Troy Hunt, Betreiber von Have I Been Pwned, erhielt vor neun Tagen eine Datei mit 31 Millionen eindeutigen E-Mail-Adressen und bestätigte deren Gültigkeit durch Abgleich mit Nutzerkontodaten
- Die geleakte Datei enthielt E-Mail-Adressen, Anzeigenamen, Zeitstempel für Passwortänderungen, Bcrypt-gehashte Passwörter und weitere interne Daten; 54 % der Konten waren bereits durch frühere Leaks in HIBP enthalten
- Nach dem Schließen des Popups lud die Website langsam, doch um 5:30 PM ET war das Popup verschwunden; stattdessen war die Website leer oder zeigte nur einen Hinweis auf vorübergehende Offline-Schaltung
Manipulation der Website und Bestätigung des Einbruchs
- Beim Besuch des Internet Archive am Mittwochnachmittag erschien eine Popup-Meldung, die mitteilte, dass die Website gehackt worden sei
- Im Popup stand sinngemäß, ob es sich beim Internet Archive je so angefühlt habe, als laufe es „auf Stöcken“ und stehe kurz vor einem catastrophic security breach, zusammen mit dem Hinweis „31 million of you on HIBP“
- Kurz nach 9 PM ET bestätigte Internet-Archive-Gründer Brewster Kahle den Einbruch und erklärte, die Website sei über eine JavaScript-Bibliothek mit dieser Meldung manipuliert worden
An HIBP übermittelte Kontodaten
- HIBP steht für Have I Been Pwned, einen Dienst, mit dem Nutzer prüfen können, ob ihre Daten in durch Cyberangriffe geleakten Datensätzen enthalten sind
- HIBP-Betreiber Troy Hunt bestätigte gegenüber BleepingComputer, dass er vor neun Tagen eine Datei mit 31 Millionen eindeutigen E-Mail-Adressen erhalten habe
- Die Datei enthielt folgende Informationen
- E-Mail-Adressen
- Anzeigenamen
- Zeitstempel für Passwortänderungen
-
Bcrypt-gehashte Passwörter
- Weitere interne Daten
- Hunt bestätigte die Gültigkeit der Daten durch Abgleich mit Nutzerkonten
Veröffentlichungsprozess und zeitgleicher DDoS
- Laut einem Beitrag von HIBP waren 54 % der geleakten Konten aufgrund früherer Sicherheitsvorfälle bereits in der HIBP-Datenbank vorhanden
- Troy Hunt teilte den Veröffentlichungszeitplan auch über seinen Account
- Am 6. Oktober kontaktierte er das Internet Archive wegen des Sicherheitsvorfalls
- Der Veröffentlichungsprozess wurde eingeleitet
- Genau zu dem Zeitpunkt, als die Daten in HIBP geladen und Benachrichtigungen an betroffene Nutzer verschickt werden sollten, traten die Website-Manipulation und der DDoS gleichzeitig auf
Veränderungen beim Website-Zugriff
- Nach dem Schließen des Popups lud die Website normal, arbeitete jedoch langsam
- Um 5:30 PM ET war das Popup verschwunden, die Website jedoch ebenfalls nicht mehr erreichbar
- Besuchern wurde entweder gar nichts angezeigt oder ein vorübergehender Offline-Hinweis mit dem Text „Internet Archive services are temporarily offline“, der auf den Account des Internet Archive verwies
1 Kommentare
Meinungen auf Hacker News
Aus Datenschutzsicht ist außerdem wichtig: Wer jemals etwas bei IA hochgeladen hat, dessen E-Mail-Adresse ist bereits in öffentlichen Metadaten offengelegt
Es ist nicht allgemein bekannt, aber alle öffentlich einsehbaren Upload-Metadaten enthalten die E-Mail-Adresse des IA-Kontos des Uploaders
Das ist auch aus Sicherheitssicht schlecht, und viele Nutzer mit Upload-Erfahrung wussten dieses Detail wahrscheinlich nicht
Bevor Spamfilter besser wurden, war es üblich, Adressen etwas zu verschleiern, um Harvesting zu verhindern; diese Zeiten scheinen vorbei zu sein, und das ist ohnehin ein anderes Thema als Datenschutz
Wenn jemand nach einem Upload auf keinen Fall zurückverfolgt werden will, sollte er ohnehin eine Wegwerfadresse verwenden
Wenn man einem Dienstbetreiber eine „private“ Adresse gibt, ohne ausdrücklich eine weitere Veröffentlichung zu untersagen, ist das ein bisschen so, als würde man Alice etwas sagen, ohne zu verlangen, dass sie es Bob nicht weitererzählt
Nicht nur das XML der Uploads, sondern auch Profile enthalten die E-Mail-Adresse; jeder kann darauf zugreifen, indem er in der URL einfach https://archive.org/details/@foobar zu https://archive.org/download/foobar ändert
Das heißt: Schon ein registriertes Konto kann offengelegt werden, unabhängig davon, ob etwas hochgeladen wurde
https://help.archive.org/help/accounts-a-basic-guide-2/
Theoretisch könnte jemand Seiten scrapen und eine Liste offengelegter E-Mail-Adressen erstellen
Ich habe früher die Website eines alten Freundes aus dem Internet Archive heruntergeladen und wieder online gestellt
Er ist verstorben, aber ich war froh, die Seite wiederbeleben zu können
Es wäre bedauerlich, wenn IA dauerhaft verschwinden würde, aber so oder so brauchen wir eine dezentrale Lösung
Es ist keine gute Idee, dass unser gemeinsames Erbe von einer einzigen riesigen Organisation verwaltet wird
Sehr ähnlich wie Torrents, aber mit mehr Peers und mehr Datenstücken statt Seeds mit vollständigen Kopien
Man könnte eine riesige Datenbank für alle betreiben, sie selbstverständlich Open Source machen und wie bei Tor das Netzwerk durch Sicherheits-Patches unterstützen, ohne echte „Admin-Dashboard-artige Kontrolle“ über das gesamte Netzwerk zu haben
Ähnliches machen wir im kleineren Maßstab bereits mit dem Caching statischer Website-Dateien, aber auf einem viel kleineren Niveau
Die Sicherheitsprobleme wären enorm, aber vielleicht nicht unüberwindbar. IPFS kommt dem nahe, ist aber wieder eher seed-zentriert
Falls jemand etwas Ähnliches kennt, würde ich gern davon hören
Wenn Kryptowährungen nicht bereits verteufelt wären, hätten Anreize wie eine seedingbasierte Kryptowährung großartig sein können
Niemand will Geld und Bandbreite dafür ausgeben, Filme oder Bücher zu hosten, um die sich nur ein paar Leute kümmern
Gibt es Tipps, wie man außer mit wget oder curl eine vollständige, nutzbare Website aus IA herunterladen kann?
Weitere Informationen zur Datenschutzverletzung gibt es hier. Die gestohlene Datenbank enthält 31 Millionen Datensätze
https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/
Ich habe gerade gesehen, dass die Website diese Warnung anzeigt:
„Hattet ihr je das Gefühl, dass das Internet Archive auf Stöcken läuft und jederzeit eine katastrophale Sicherheitsverletzung erleiden könnte? Gerade ist es passiert. Wir sehen 31 Millionen von euch bei HIBP!“
Freundliche oder humorvoll gemeinte Fehlermeldungen sind manchmal schwer einzuordnen
Es sieht so aus, als hätte jemand eine Subdomain für Polyfill kompromittiert
Update: Inzwischen scheint die Subdomain wieder normal zu antworten
Das ist so ein Moment, in dem man hofft, dass Flüche gegen die Person, die diesen Streich gespielt hat, tatsächlich wirken
„Mögen du und deine Nachkommen als Strafe für eure Untat zehntausend Nächte lang von zehntausend Flöhen gebissen werden“
Es ist vielleicht kein guter Zeitpunkt, das zu sagen, aber es ist überraschend einfach, eine Collection mit Einträgen durchzugehen und zusammen mit dem Benutzernamen alle E-Mail-Adressen abzurufen
https://archive.org/metadata/naturally_a_girl/metadata
Irgendwann musste zwangsläufig jemand massenhaft E-Mail-Adressen einsammeln, die in irgendeiner Form an Benutzernamen hängen
Ich bin allerdings etwas neugierig, wie der Hacker in die Datenbank eingedrungen ist und an die Passwörter gekommen ist
Ehrlich gesagt sieht das nach einem Designfehler aus
https://github.com/internetarchive/iaux/issues/892
Warum ausgerechnet das Internet Archive angreifen? Greift doch etwas anderes an, aber lasst das verdammte Archiv in Ruhe
Dieser Thread dürfte einer der ersten Orte sein, an denen dieser Vorfall dokumentiert wird. Er scheint ganz oben bei Google aufzutauchen
Es gibt bereits zwei neu erstellte Accounts deswegen
Ich habe mein IA-Konto jahrelang mit einer Gmail-Adresse genutzt und die E-Mail vor 9 Monaten auf eine Masking-Adresse unter meiner eigenen Domain geändert
Jetzt sehe ich aber, dass meine Gmail-Adresse weiterhin gespeichert war und im Leak enthalten ist. Warum?
Ich verstehe, dass man eine Änderungshistorie speichern kann, aber warum muss man sie aufbewahren?
Bei den aktuellen Kontoinformationen habe ich das Passwort durch eine andere zufällige Zeichenfolge aus meinem Passwortmanager ersetzt und die Masking-E-Mail-Adresse gelöscht und neu erstellt
Künftig sollte so etwas für mich kein großes Problem mehr sein
Das Erste, was ich bei HaveIBeenPwned geprüft habe, war die erste E-Mail, aber sie taucht in diesem Leak nicht auf
Einige andere Konten, die dieselbe IA-spezifische E-Mail und dasselbe Passwort verwenden, werden alle korrekt in diesem Leak angezeigt
Ich kann nicht erklären, warum es dazu kam, aber ich hatte genau denselben Gedanken und wollte auch ein Gegenbeispiel hinterlassen