Uma janela pop-up JavaScript ilícita no Internet Archive proclamou na quarta-feira à tarde que o site sofreu uma grande violação de dados. Horas depois, a organização confirmou o incidente.
O pesquisador de segurança de longa data, Troy Hunt, que administra o site de notificação de violação de dados Have I Been Pwned (HIBP), também confirmou que a violação é legítima. Ele disse que ocorreu em setembro e que o tesouro roubado contém 31 milhões de endereços de e-mail únicos, juntamente com nomes de usuário, hashes de senha bcrypt e outros dados do sistema. O Bleeping Computer, que fez o primeiro relatório da violação, também confirmou a validade dos dados.
O Internet Archive ainda não retornou vários pedidos de comentário da WIRED.
“Você já sentiu que o Internet Archive funciona com palitos e está constantemente à beira de sofrer uma violação catastrófica de segurança?” escreveram os atacantes na mensagem pop-up do Internet Archive de quarta-feira. “Isso acaba de acontecer. Veja 31 milhões de vocês no HIBP!”
Além da violação e da desfiguração do site, o Internet Archive tem lutado contra uma onda de ataques de negação de serviço distribuídos que derrubaram intermitentemente seus serviços.
O fundador do Internet Archive, Brewster Kahle, forneceu uma atualização pública na quarta-feira à noite em uma postagem na rede social X. “O que sabemos: ataque DDoS – repelido por enquanto; desfiguração de nosso site via biblioteca JS; violação de nomes de usuários/e-mails/senhas criptografadas com sal. O que fizemos: desativamos a biblioteca JS, limpando sistemas, atualizando segurança. Compartilharemos mais assim que soubermos.” “Limpeza de sistemas” refere-se a serviços que oferecem proteção contra ataques DDoS filtrando o tráfego malicioso para que ele não possa inundar e interromper um site.
O Internet Archive enfrentou ataques DDoS agressivos várias vezes nos últimos meses, incluindo no final de maio. Como Kahle escreveu na quarta-feira: “O ataque DDoS de ontem no @internetarchive se repetiu hoje. Estamos trabalhando para colocar http://archive.org de volta online.” O grupo hacktivista conhecido como “BlackMeta” assumiu a responsabilidade pelos ataques DDoS desta semana e disse que planeja realizar mais contra o Internet Archive. No entanto, o perpetrador da violação de dados ainda não é conhecido.
O Internet Archive enfrentou batalhas em muitos fronts nos últimos meses. Além dos repetidos ataques DDoS, a organização também está enfrentando crescentes desafios legais. Recentemente, perdeu um recurso no caso Hachette v. Internet Archive, uma ação movida por editoras de livros que argumentaram que sua biblioteca de empréstimos digitais violava a lei de direitos autorais. Agora, está enfrentando uma ameaça existencial na forma de outra ação por direitos autorais, desta vez de gravadoras, que pode resultar em danos superiores a US$ 621 milhões se o tribunal decidir contra o arquivo.
Hunt, do HIBP, disse que recebeu os dados roubados do Internet Archive pela primeira vez em 30 de setembro, revisou-os em 5 de outubro e alertou a organização sobre isso em 6 de outubro. Ele diz que o grupo confirmou a violação para ele no dia seguinte e que planejou carregar os dados no HIBP e notificar seus assinantes sobre a violação na quarta-feira. “Eles são desfigurados e DDoS’d, bem na hora em que os dados estão sendo carregados no HIBP,” escreveu Hunt. “O cronograma do último ponto parece ser inteiramente coincidente.”
Hunt também acrescentou que, embora tenha incentivado o grupo a divulgar publicamente a violação de dados antes que as notificações do HIBP fossem enviadas, as circunstâncias atenuantes podem explicar o atraso.
“Obviamente, eu teria gostado de ver essa divulgação muito antes, mas entendendo como estão sob ataque, acho que todos deveriam dar um desconto a eles,” escreveu Hunt. “Eles são uma entidade sem fins lucrativos que faz um ótimo trabalho e fornece um serviço do qual muitos de nós dependemos fortemente.