İnternet Arşivi, yaklaşık 31 milyon kullanıcının e-posta adreslerinin, ekran adlarının ve bcrypt şifre karmalarının ele geçirilmesine yol açan bir veri ihlali yaşadı.
Bu uzlaşma Çarşamba günü öğleden sonra, dijital kütüphanenin web sitesinde şu ifadelerin yer aldığı bir JavaScript açılır penceresi göstermeye başladığında ortaya çıktı: “İnternet Arşivi’nin sabit diskler üzerinde çalıştığını ve sürekli olarak yıkıcı bir güvenlik ihlaliyle karşı karşıya olduğunu hissettiniz mi? Az önce oldu. HIBP’de 31 milyonunuzu görün!
Aynı sıralarda, söz konusu veriler Pwned Edildim mi? veri ihlali bildirim hizmeti ve kısa süre sonra, verileri sızdırıldığında bildirim almak üzere kaydolan HIBP kullanıcıları e-posta yoluyla bildirim almaya başladı:
HIBP e-posta bildirimi
Ne yazık ki, İnternet Arşivi web sitesi hacktivist olduğunu iddia edenlerin iddia ettiği bir DDoS saldırısının baskısı altında çöktüğü için erişilemez hale geldiğinden çoğu kişi için ele geçirilen şifreyi değiştirmek hemen mümkün olmadı.
Ne oldu? Peki nasıl?
İnternet Arşivi, dijitalleştirilmiş materyallere (basılı ve görsel-işitsel materyaller, müzik, podcast’ler, sesli kitaplar, resimler, yazılım) ve ayrıca web sayfalarının arşivlenmiş kopyalarından oluşan devasa bir koleksiyon olan Wayback Machine’e ücretsiz erişim sağlayan kar amacı gütmeyen bir kuruluştur.
Kuruluş yakın zamanda yayıncılık şirketi Hachette tarafından açılan bir telif hakkı davasını kaybetti ve halen çeşitli müzik şirketlerinin açtığı başka bir davayla ilgileniyor.
Kuruluşun web sitesi Mayıs 2024’te bir dizi DDoS saldırısına maruz kaldı ve şimdi de:
Bildiklerimiz: DDOS saldırısı şimdilik savuşturuldu; JS kütüphanesi aracılığıyla web sitemizin tahrif edilmesi; kullanıcı adlarının/e-postanın/tuzlu şifreli şifrelerin ihlali.
Ne yaptık: JS kütüphanesini devre dışı bıraktık, sistemleri temizledik, güvenliği yükselttik.
Bildikçe daha fazlasını paylaşacağız.
— Brewster Kahle (@brewster_kahle) 10 Ekim 2024
Veri ihlali ile DDoS saldırılarının aynı kişi/grup tarafından gerçekleştirilip gerçekleştirilmediği henüz belli değil. Veri ihlalinin ve web sitesi güvenliğinin ihlalinin nasıl gerçekleştiği de bilinmiyor.
HIBP yaratıcısı Troy Hunt, birinin kendisine ihlalde ele geçirilen verileri 30 Eylül’de gönderdiğini, ancak 5 Ekim’e kadar inceleyemeyeceğini açıkladı. İnternet Arşivi’ni bilgilendirdi ve onlara Çarşamba günü HIBP’ye yükleneceğini söyledi ( 9 Ekim). Yükleme ile DDoS saldırısı arasındaki örtüşmenin bir tesadüf olduğunu belirtti.
“Açıkçası bu açıklamayı çok daha erken görmeyi isterdim, ancak ne kadar saldırı altında olduklarını anladığım için herkesin onlara biraz izin vermesi gerektiğini düşünüyorum. Harika işler yapan ve çoğumuzun büyük ölçüde güvendiği bir hizmet sunan, kar amacı gütmeyen bir kuruluş” diye ekledi.
İnternet Arşivi sitesi artık tekrar çevrimiçi ve kayıtlı kullanıcılara şifrelerini değiştirmeleri tavsiye ediliyor.