İnternet Arşivi’nin “The Wayback Machine”i, bir tehdit aktörünün web sitesini ele geçirmesi ve 31 milyon benzersiz kayıt içeren bir kullanıcı kimlik doğrulama veritabanını çalmasının ardından veri ihlaline maruz kaldı.
İhlal haberi Çarşamba günü öğleden sonra archive.org ziyaretçilerinin bilgisayar korsanı tarafından oluşturulan ve İnternet Arşivi’nin ihlal edildiğini belirten bir JavaScript uyarısı görmeye başlamasıyla yayılmaya başladı.
Güvenliği ihlal edilmiş archive.org’da gösterilen bir JavaScript uyarısı, “İnternet Arşivi’nin çubuklar üzerinde çalıştığını ve sürekli olarak feci bir güvenlik ihlali yaşamanın eşiğinde olduğunu hiç hissettiniz mi? Bu aniden oldu. HIBP’de 31 milyon kişiyiz!” yazıyor. alan.
“HIBP” metni, tehdit aktörlerinin genellikle çalınan verileri hizmete eklenmek üzere paylaştığı Troy Hunt tarafından oluşturulan Have I Been Pwned veri ihlali bildirim hizmetini ifade eder.
Hunt, BleepingComputer’a, tehdit aktörünün İnternet Arşivi’nin kimlik doğrulama veritabanını üç gün önce paylaştığını ve bunun “ia_users.sql” adlı 6,4 GB’lık bir SQL dosyası olduğunu söyledi. Veritabanı, kayıtlı üyelerin e-posta adresleri, ekran adları, parola değiştirme zaman damgaları, Bcrypt karma parolaları ve diğer dahili veriler dahil olmak üzere kimlik doğrulama bilgilerini içerir.
Hunt, veritabanında 31 milyon benzersiz e-posta adresi bulunduğunu ve birçoğunun HIBP veri ihlali bildirim hizmetine abone olduğunu söylüyor. Veriler yakında HIBP’ye eklenecek ve kullanıcıların e-postalarını girerek verilerinin bu ihlale maruz kalıp kalmadığını doğrulamalarına olanak tanıyacak.
Verilerin gerçek olduğu, Hunt’ın aralarında BleepingComputer’ın açığa çıkan kaydını paylaşmasına izin veren siber güvenlik araştırmacısı Scott Helme’nin de bulunduğu veritabanlarında listelenen kullanıcılarla iletişime geçmesinin ardından doğrulandı.
9887370, [email protected],$2a$10$Bho2e2ptPnFRJyJKIn5BiehIDiEwhjfMZFVRM9fRCarKXkemA3PxuScottHelme,2020-06-25,2020-06-25,[email protected],2020-06-25 13:22:52.7608520,\N0\N\N@scotthelme\N\N\N
Helme, veri kaydındaki bcrypt karma parolasının, parola yöneticisinde saklanan brcrypt karma parolayla eşleştiğini doğruladı. Ayrıca veritabanı kaydındaki zaman damgasının, şifre yöneticisindeki şifreyi en son değiştirdiği tarihle eşleştiğini de doğruladı.
Hunt, İnternet Arşivi ile temasa geçtiğini ve verilerin 48 saat içinde hizmete yükleneceği bilgisini vererek bir açıklama süreci başlattığını ancak o zamandan bu yana herhangi bir geri dönüş alamadığını söyledi.
Tehdit aktörlerinin İnternet Arşivi’ni nasıl ihlal ettiği ve başka verilerin çalınıp çalınmadığı bilinmiyor.
Bugün erken saatlerde İnternet Arşivi, ek saldırılar gerçekleştireceklerini söyleyen BlackMeta hacktivist grubu tarafından üstlenilen bir DDoS saldırısına maruz kaldı.
BleepingComputer, saldırıyla ilgili sorularını iletmek üzere İnternet Arşivi ile iletişime geçti ancak hemen yanıt alınamadı.