Um pop-up JavaScript ilícito no Internet Archive proclamou na tarde de quarta-feira que o site havia sofrido uma grande violação de dados. Horas depois, a organização confirmou o incidente.
O pesquisador de segurança de longa data Troy Hunt, que administra o site de notificação de violação de dados Have I Been Pwned (HIBP), também confirmou que a violação é legítima. Ele disse que isso ocorreu em setembro e que o tesouro roubado contém 31 milhões de endereços de e-mail exclusivos, além de nomes de usuário, hashes de senha bcrypt e outros dados do sistema. A Bleeping Computer, que primeiro relatou a violação, também confirmou a validade dos dados.
O Internet Archive não retornou vários pedidos de comentários da WIRED.
“Você já sentiu como se o Internet Archive funcionasse com dispositivos eletrônicos e estivesse constantemente à beira de sofrer uma violação de segurança catastrófica?” escreveram os invasores na mensagem pop-up do Internet Archive de quarta-feira. “Simplesmente aconteceu. Veja 31 milhões de vocês no HIBP!”
Além da violação e da desfiguração do site, o Internet Archive tem lutado contra uma onda de ataques distribuídos de negação de serviço que derrubaram intermitentemente seus serviços.
O fundador do Internet Archive, Brewster Kahle, forneceu uma atualização pública na noite de quarta-feira em uma postagem na rede social X. “O que sabemos: ataque DDOS – evitado por enquanto; desfiguração do nosso site via biblioteca JS; violação de nomes de usuário/e-mail/senhas criptografadas com sal. O que fizemos: desativamos a biblioteca JS, limpamos sistemas, atualizamos a segurança. Compartilharemos mais como o conhecemos.” “Sistemas de depuração” referem-se a serviços que oferecem proteção contra ataques DDoS, filtrando o tráfego indesejado malicioso para que ele não inunde e interrompa um site.
O Internet Archive enfrentou ataques DDoS agressivos inúmeras vezes no passado, inclusive no final de maio. Como Kahle escreveu na quarta-feira: “O ataque DDoS de ontem ao @internetarchive se repetiu hoje. Estamos trabalhando para colocar o http://archive.org novamente online.” O grupo hacktivista conhecido como BlackMeta assumiu a responsabilidade pelos ataques DDoS desta semana e disse que planeja realizar mais ações contra o Internet Archive. Ainda assim, o autor da violação de dados ainda não é conhecido.
O Internet Archive enfrentou batalhas em muitas frentes nos últimos meses. Além dos repetidos ataques DDoS, a organização também enfrenta crescentes desafios jurídicos. Recentemente perdeu seu apelo Hachette v. Arquivo da Internetuma ação movida por editoras de livros, que argumentava que sua biblioteca digital violava a lei de direitos autorais. Agora enfrenta uma ameaça existencial na forma de outro processo de direitos autorais, este movido por gravadoras musicais, que pode resultar em danos de mais de US$ 621 milhões se o tribunal decidir contra o arquivo.
Hunt, do HIBP, diz que recebeu pela primeira vez os dados roubados do Internet Archive em 30 de setembro, revisou-os em 5 de outubro e alertou a organização sobre isso em 6 de outubro. os dados no HIBP e notificar seus assinantes sobre a violação na quarta-feira. “Eles são desfigurados e sofrem ataques de DDoS assim que os dados são carregados no HIBP”, escreveu Hunt. “O momento do último ponto parece ser inteiramente coincidente.”
Hunt acrescentou também que, embora tenha encorajado o grupo a divulgar publicamente a própria violação de dados antes que as notificações do HIBP fossem divulgadas, as circunstâncias atenuantes podem explicar o atraso.
“Obviamente, eu teria gostado de ver essa divulgação muito antes, mas entendendo como eles estão sob ataque, acho que todos deveriam lhes dar uma folga”, escreveu Hunt. “Eles são uma organização sem fins lucrativos que faz um excelente trabalho e presta um serviço do qual muitos de nós confiamos fortemente.”