Piratage d’Internet Archive : alerte sur la fuite de données de 31 millions de comptes
(theverge.com)- Un avertissement a été publié indiquant que les données de 31 millions de comptes avaient été exposées, alors qu’une fenêtre pop-up altérée s’affichait aux visiteurs d’Internet Archive et que des attaques DDoS se poursuivaient
- Le fondateur Brewster Kahle a confirmé l’intrusion peu après 9PM ET et indiqué que l’alerte avait été injectée sur le site via une bibliothèque JavaScript
- Troy Hunt, opérateur de Have I Been Pwned, a indiqué qu’un fichier reçu il y a 9 jours contenait 31 millions d’adresses e-mail uniques, et qu’il en avait vérifié la validité en les comparant aux données des comptes utilisateurs
- Le fichier divulgué contenait des adresses e-mail, des pseudonymes, des horodatages de changement de mot de passe, des mots de passe hachés avec Bcrypt et d’autres données internes ; 54 % des comptes figuraient déjà dans HIBP à la suite d’une précédente violation
- Après fermeture de la pop-up, le site se chargeait lentement, mais à 5:30PM ET, la pop-up avait disparu et le site n’affichait plus qu’une page vide ou un message d’indisponibilité temporaire
Altération du site et confirmation de l’intrusion
- En visitant Internet Archive mercredi après-midi, les utilisateurs voyaient s’afficher un message pop-up indiquant que le site avait été piraté
- La pop-up contenait le message selon lequel Internet Archive « donne l’impression de tourner avec des bâtons et semble au bord d’une catastrophic security breach », ainsi que la phrase « 31 million of you on HIBP »
- Peu après 9PM ET, le fondateur d’Internet Archive Brewster Kahle a confirmé l’intrusion et déclaré que le site avait été altéré avec cette alerte via une bibliothèque JavaScript
Données de comptes transmises à HIBP
- HIBP signifie Have I Been Pwned, un service qui permet aux utilisateurs de vérifier si leurs informations figurent dans des données divulguées lors de cyberattaques
- Troy Hunt, opérateur de HIBP, a confirmé à BleepingComputer avoir reçu il y a 9 jours un fichier contenant 31 millions d’adresses e-mail uniques
- Le fichier contenait les informations suivantes
- adresses e-mail
- pseudonymes
- horodatages de changement de mot de passe
-
mots de passe hachés avec Bcrypt
- autres données internes
- Hunt a vérifié la validité de ces données en les comparant aux comptes utilisateurs
Calendrier de divulgation et chevauchement avec les DDoS
- Selon une publication de HIBP, 54 % des comptes compromis figuraient déjà dans la base de données HIBP à la suite d’une violation antérieure
- Troy Hunt a également partagé le calendrier de divulgation sur son compte
- le 6 octobre, il a signalé la violation à Internet Archive
- il a engagé la procédure de divulgation
- alors qu’il s’apprêtait à charger les données dans HIBP pour notifier les utilisateurs concernés, l’altération du site et les attaques DDoS se sont produites simultanément
Évolution de l’état d’accès au site
- Après la fermeture de la pop-up, le site se chargeait normalement mais fonctionnait lentement
- À 5:30PM ET, la pop-up avait disparu, mais le site avait lui aussi disparu
- Les visiteurs ne voyaient rien, ou seulement le message temporaire « Internet Archive services are temporarily offline », avec une redirection vers le compte d’Internet Archive
1 commentaires
Avis sur Hacker News
Du point de vue de la vie privée, il est important de noter que toute personne ayant déjà téléversé quelque chose sur IA a probablement déjà son adresse e-mail exposée dans les métadonnées publiques
Ce n’est pas très connu, mais toutes les métadonnées de téléversement visibles publiquement contiennent l’e-mail du compte IA de l’uploader
C’est mauvais aussi du point de vue de la sécurité, et beaucoup d’utilisateurs ayant déjà téléversé ignoraient probablement ce détail
Avant que les filtres anti-spam ne deviennent meilleurs, il était courant d’obfusquer légèrement les adresses pour éviter leur collecte, mais cette époque semble révolue, et c’est d’ailleurs un sujet distinct de la vie privée
Si quelqu’un ne veut absolument pas être traçable après un téléversement, il doit de toute façon utiliser une adresse jetable
Si l’on fournit une adresse “privée” à l’administrateur d’un service sans interdire explicitement toute divulgation supplémentaire, on peut voir cela comme le fait de ne pas avoir demandé à Bob de ne pas répéter à Alice ce qu’on lui a dit
L’adresse e-mail apparaît non seulement dans le XML des téléversements, mais aussi dans le profil, et n’importe qui peut y accéder simplement en remplaçant l’URL https://archive.org/details/@foobar par https://archive.org/download/foobar
Autrement dit, même sans avoir rien téléversé, le simple fait d’avoir un compte enregistré peut suffire à être exposé
https://help.archive.org/help/accounts-a-basic-guide-2/
En théorie, quelqu’un pourrait aspirer les pages et constituer une liste des adresses e-mail exposées
J’ai téléchargé depuis Internet Archive puis remis en ligne le site web d’un ancien ami
Il est décédé, mais j’ai été heureux de pouvoir faire revivre ce site
Ce serait triste si IA disparaissait définitivement, mais il nous faut malgré tout une solution décentralisée
Ce n’est pas une bonne idée de confier notre patrimoine collectif à une seule organisation géante
Ce serait très proche du torrent, mais avec davantage de pairs et davantage de fragments de données plutôt que des seeds possédant une copie complète
On pourrait maintenir une immense base de données pour tout le monde, bien sûr en open source, avec des correctifs de sécurité aidant le réseau comme avec Tor, mais sans véritable “contrôle de type tableau de bord administrateur” sur l’ensemble du réseau
On fait déjà quelque chose d’un peu similaire à plus petite échelle avec le cache de fichiers statiques de sites web, mais à un niveau bien moindre
Les difficultés de sécurité seraient énormes, mais peut-être pas insurmontables. IPFS s’en rapproche, mais reste plus proche d’un modèle centré sur les seeds
Si quelqu’un connaît quelque chose de similaire, ça m’intéresse
Si les cryptomonnaies n’avaient pas déjà été autant diabolisées, une incitation du type cryptomonnaie basée sur le seeding aurait peut-être été excellente
Personne n’a envie de dépenser de l’argent et de la bande passante pour héberger des films ou des livres qui n’intéressent que quelques personnes
Au-delà de l’usage de wget ou curl, avez-vous des conseils pour télécharger un site web complet exploitable depuis IA ?
Il y a plus d’informations sur la violation de données ici. La base de données volée contient 31 millions d’enregistrements
https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/
Je viens de voir que le site affiche cet avertissement :
“Avez-vous déjà eu l’impression qu’Internet Archive tenait avec des bouts de ficelle et risquait à tout moment une catastrophe de sécurité ? Eh bien, ça vient d’arriver. Rendez-vous sur HIBP avec vos 31 millions de comptes !”
Les messages d’erreur qui se veulent amicaux ou humoristiques sont parfois difficiles à distinguer
On dirait que quelqu’un a compromis un sous-domaine utilisé pour Polyfill
Mise à jour : le sous-domaine semble maintenant répondre normalement à nouveau
C’est le genre de moment où l’on se surprend à espérer qu’une malédiction fonctionne vraiment contre l’auteur de ce sale coup
“Puisse toi et ta descendance être punis de vos méfaits par 10 000 puces durant 10 000 nuits”
Ce n’est peut-être pas le bon moment pour le dire, mais il est étonnamment facile de parcourir les collections avec des éléments et de récupérer tous les e-mails avec les noms d’utilisateur
https://archive.org/metadata/naturally_a_girl/metadata
Quelqu’un aurait fini par aspirer en masse les e-mails associés aux noms d’utilisateur d’une manière ou d’une autre
Je suis un peu curieux de savoir comment le pirate a compromis la base de données et obtenu les mots de passe
Honnêtement, ça ressemble à un défaut de conception
https://github.com/internetarchive/iaux/issues/892
Pourquoi viser précisément Internet Archive ? Qu’ils s’en prennent à autre chose, mais qu’ils laissent ce fichu archive tranquille
Ce fil va sans doute devenir l’un des premiers endroits où cet incident sera documenté. Il semble apparaître tout en haut de Google
Il y a déjà deux comptes créés à cause de cette affaire
J’utilisais depuis des années une adresse Gmail pour mon compte IA, et il y a 9 mois j’ai remplacé l’e-mail par une adresse masquée créée sur mon propre domaine
Mais je vois maintenant que mon adresse Gmail était toujours conservée et faisait partie de la fuite. Pourquoi ?
Je peux comprendre qu’ils conservent un historique des modifications, mais pourquoi le garder ?
Dans les informations actuelles du compte, j’ai changé le mot de passe pour une autre chaîne aléatoire générée par mon gestionnaire de mots de passe, puis j’ai supprimé l’adresse e-mail masquée avant d’en créer une nouvelle
À l’avenir, ce genre de chose ne devrait plus vraiment être un gros problème pour moi
La première adresse que j’ai vérifiée sur HaveIBeenPwned était l’adresse initiale, mais elle n’apparaît pas dans cette fuite
En revanche, plusieurs autres comptes utilisant un e-mail et un mot de passe dédiés à IA ressortent bien correctement dans cette fuite
Je ne peux pas expliquer pourquoi il en est ainsi, mais j’ai eu exactement la même pensée et je voulais aussi laisser un exemple allant dans l’autre sens