1 poin oleh GN⁺ 2024-10-10 | 1 komentar | Bagikan ke WhatsApp
  • Pengunjung Internet Archive melihat popup hasil perusakan situs, dan ketika serangan DDoS juga berlanjut, muncul peringatan bahwa informasi 31 juta akun telah terekspos
  • Pendiri Brewster Kahle mengonfirmasi pembobolan tak lama setelah 9PM ET, dan menyatakan bahwa notifikasi tersebut disisipkan ke situs web melalui library JavaScript
  • Operator Have I Been Pwned, Troy Hunt, mengatakan file yang ia terima 9 hari sebelumnya berisi 31 juta alamat email unik, dan ia memverifikasi keabsahannya dengan mencocokkannya dengan data akun pengguna
  • File yang bocor mencakup alamat email, nama tampilan, timestamp perubahan kata sandi, kata sandi hash Bcrypt, serta data internal lainnya; 54% akun sudah ada di HIBP dari pembobolan sebelumnya
  • Setelah popup ditutup, situs memuat dengan lambat, tetapi per 5:30PM ET popup sudah hilang dan situs hanya menampilkan halaman kosong atau pemberitahuan sementara bahwa layanan offline

Perusakan situs dan konfirmasi pembobolan

  • Pada Rabu sore, saat mengunjungi Internet Archive, muncul pesan popup yang menyatakan bahwa situs tersebut telah diretas
  • Popup tersebut berisi kalimat yang menyinggung apakah Internet Archive pernah “terasa seperti berjalan dengan ranting dan berada di ambang catastrophic security breach”, disertai pesan “31 million of you on HIBP”
  • Tak lama setelah 9PM ET, pendiri Internet Archive Brewster Kahle mengonfirmasi pembobolan tersebut dan menyatakan bahwa situs web telah dirusak dengan notifikasi itu melalui library JavaScript

Data akun yang diserahkan ke HIBP

  • HIBP adalah singkatan dari Have I Been Pwned, layanan yang memungkinkan pengguna memeriksa apakah informasi mereka termasuk dalam data yang bocor akibat serangan siber
  • Operator HIBP, Troy Hunt, mengonfirmasi kepada BleepingComputer bahwa ia menerima file berisi 31 juta alamat email unik 9 hari sebelumnya
  • File tersebut berisi informasi berikut
    • Alamat email
    • Nama tampilan
    • Timestamp perubahan kata sandi
    • Kata sandi hash Bcrypt

      • Data internal lainnya
      • Hunt memverifikasi keabsahan data tersebut dengan mencocokkannya dengan akun pengguna

Proses publikasi dan waktu yang berbarengan dengan DDoS

  • Menurut postingan HIBP, 54% akun yang bocor sudah ada di database HIBP dari pembobolan sebelumnya
  • Troy Hunt juga membagikan jadwal publikasi melalui akunnya
    • Pada 6 Oktober, ia menghubungi Internet Archive mengenai pembobolan tersebut
    • Ia menjalankan proses publikasi
    • Saat ia hendak memuat data ke HIBP dan mengirim notifikasi kepada pengguna terdampak, perusakan situs dan DDoS terjadi secara bersamaan

Perubahan status akses situs

  • Setelah popup ditutup, situs dimuat secara normal tetapi berjalan lambat
  • Per 5:30PM ET, popup sudah hilang, tetapi situsnya juga ikut tidak terlihat
  • Pengunjung tidak melihat apa pun atau melihat pemberitahuan offline sementara bertuliskan “Internet Archive services are temporarily offline”, dan diarahkan ke akun Internet Archive

1 komentar

 
GN⁺ 2024-10-10
Opini Hacker News
  • Dari sudut pandang privasi, penting juga bahwa siapa pun yang pernah mengunggah sesuatu ke IA sebenarnya sudah terekspos karena alamat emailnya muncul di metadata publik
    Ini bukan fakta yang umum diketahui, tetapi semua metadata unggahan yang bisa dilihat publik memuat email akun IA milik pengunggah
    Ini buruk dari sisi keamanan, dan banyak pengguna yang pernah mengunggah kemungkinan besar tidak mengetahui detail ini

    • Muncul pertanyaan menarik: apakah alamat email seharusnya bersifat privat? Alamat gedung tidak bersifat privat, dan dalam batas tertentu bisa dianggap mirip seperti banyak konsep komputasi lain
      Sebelum filter spam membaik, orang sering sedikit mengaburkan alamat untuk mencegah pemanenan alamat, tetapi masa itu tampaknya sudah lewat, dan itu juga isu yang terpisah dari privasi
      Jika seseorang sama sekali tidak ingin dilacak setelah mengunggah, ia memang harus memakai alamat sekali pakai
      Jika Anda memberikan alamat “privat” kepada admin layanan tanpa secara eksplisit melarang publikasi lebih lanjut, itu bisa dilihat mirip seperti mengatakan sesuatu kepada Alice tanpa meminta agar ia tidak menyampaikannya kepada Bob
    • Ini tidak hanya berlaku pada unggahan, tetapi pada semua hal yang memakai alamat email sebagai pengidentifikasi pengguna unik
      Alamat email ada bukan hanya di XML unggahan, tetapi juga di profil, dan siapa pun bisa mengaksesnya hanya dengan mengubah URL dari https://archive.org/details/@foobar menjadi https://archive.org/download/foobar
      Artinya, terlepas dari pernah mengunggah atau tidak, siapa pun yang hanya memiliki akun terdaftar bisa terekspos
      https://help.archive.org/help/accounts-a-basic-guide-2/
    • Ini saja sudah cukup buruk. Ini sendiri adalah bug privasi sekaligus kebocoran data
      Secara teori, seseorang bisa mengikis halaman dan membuat daftar alamat email yang terekspos
    • Salah satu solusinya adalah memakai alamat email unik untuk tiap situs, lalu jika situs itu diretas, ganti alamat tersebut dan masukkan alamat lama ke filter spam
  • Saya pernah mengunduh situs web teman lama dari Internet Archive lalu mengunggahnya kembali
    Ia sudah meninggal, tetapi saya bersyukur bisa menghidupkan kembali situs itu
    Akan menyedihkan jika IA hilang selamanya, tetapi bagaimanapun kita membutuhkan solusi terdesentralisasi
    Struktur di mana satu organisasi raksasa mengelola warisan kolektif kita bukanlah ide yang bagus

    • Saya selalu memikirkan hal seperti ini. Akan menarik jika perangkat yang terhubung ke internet membuat pengguna menyimpan sejumlah kecil potongan data redundan
      Sangat mirip torrent, tetapi dengan lebih banyak peer dan lebih banyak potongan data daripada seed yang memiliki salinan lengkap
      Bentuknya bisa berupa basis data raksasa untuk semua orang, tentu saja open source, membantu jaringan lewat patch keamanan seperti Tor, tetapi tanpa “kontrol bergaya dashboard admin” yang nyata atas keseluruhan jaringan
      Kita sudah melakukan hal serupa dalam skala lebih kecil lewat caching file statis situs web, tetapi skalanya jauh lebih kecil
      Tantangan keamanannya akan sangat besar, tetapi mungkin tidak mustahil diatasi. IPFS mendekati ini, tetapi lagi-lagi lebih dekat ke model berbasis seed
      Kalau ada yang tahu sesuatu yang mirip dengan ini, saya ingin mendengarnya
    • Itulah sebabnya BitTorrent dan berbagai solusi P2P lain diciptakan, tetapi kenyataannya begini: RIAA, MPAA, ESA memberi teknologi-teknologi ini reputasi yang buruk, dan tidak ada yang suka mempertahankan seed
      Jika cryptocurrency belum telanjur didemonisasi, insentif seperti cryptocurrency berbasis seeding mungkin bisa sangat bagus
    • Itu persis protokol torrent, dan hasilnya tidak berjalan baik
      Tidak ada yang ingin menghabiskan uang dan bandwidth untuk meng-host film atau buku yang hanya dipedulikan segelintir orang
    • Saya ingin terus mencoba hal seperti ini untuk situs-situs lama. Semacam IA mini pribadi
      Selain memakai wget atau curl, adakah tips untuk mengunduh situs web lengkap yang tersedia di IA?
    • Apalagi jika organisasi itu sudah menunjukkan bahwa mereka tidak selalu bersikap adil, semakin tidak boleh semuanya diserahkan ke satu tempat
  • Ada informasi tambahan tentang pelanggaran data di sini. Basis data yang dicuri berisi 31 juta record
    https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/

    • Katanya penyerang sering membagikan data yang mereka curi ke Have I Been Pwned buatan Troy Hunt; benarkah begitu? Kenapa mereka melakukan itu?
    • Katanya akan segera ditambahkan ke HIBP, tetapi alamat email yang saya buat khusus untuk archive.org belum muncul
    • Yang membuat penasaran adalah bagaimana Scott Helme bisa menerima hash kata sandi yang memuat namanya sendiri
    • Ini pengingat ramah untuk membuat kata sandi unik untuk setiap akun, supaya jika kebocoran basis data seperti ini terjadi, dampaknya tidak meluas ke luar situs tersebut
  • Baru saja saya lihat situsnya menampilkan peringatan seperti ini:
    “Pernah merasa Internet Archive berjalan hanya dengan tongkat dan bisa mengalami pelanggaran keamanan katastrofik kapan saja? Itu baru saja terjadi. Sampai jumpa di HIBP, 31 juta dari kalian!”

    • Lucunya, saya sendiri sudah muncul di HIBP berkali-kali sampai tak terhitung
    • Kalau ada aktor jahat, apakah bisa diasumsikan email akun dan nama ikut bocor?
    • Saya tidak tahu apakah ini peringatan sungguhan atau jejak peretasan
      Pesan error yang ramah atau mencoba melucu kadang sulit dibedakan
  • Sepertinya seseorang telah membobol salah satu subdomain untuk Polyfill
    Pembaruan: sekarang subdomain itu tampaknya sudah kembali memberikan respons normal

    • Maksudnya IA menyertakan polyfill JavaScript dari suatu subdomain, lalu subdomain itu dibobol atau menjadi jalur munculnya peringatan?
    • Kalau begitu, itu bisa cukup menjelaskan bagaimana popup peringatan JavaScript disuntikkan
  • Ini saat ketika kita berharap kutukan benar-benar bekerja pada orang yang melakukan keisengan seperti ini
    “Semoga engkau dan keturunanmu, sebagai hukuman atas perbuatan jahatmu, digigit 10.000 kutu selama 10.000 malam”

  • Mungkin ini bukan saat yang tepat untuk mengatakannya, tetapi ternyata sangat mudah menelusuri koleksi yang berisi item dan mengambil semua email beserta nama penggunanya
    https://archive.org/metadata/naturally_a_girl/metadata
    Pada akhirnya pasti akan ada orang yang mengambil email yang tertaut ke nama pengguna secara massal dengan cara tertentu
    Saya agak penasaran bagaimana peretas bisa membobol database dan mendapatkan kata sandi

    • Saya sama sekali tidak tahu soal ini. Kalau saya tahu email bersifat publik, saya pasti akan melakukan beberapa hal secara berbeda
      Jujur, ini terlihat seperti cacat desain
    • Benar, kekhawatiran terkait email terus diabaikan
      https://github.com/internetarchive/iaux/issues/892
  • Kenapa harus menargetkan Internet Archive. Targetkan yang lain saja, jangan sentuh arsip sialan itu

    • Kita membutuhkan semacam arsip terdistribusi yang bisa diakses semua orang dengan mudah
  • Sepertinya thread ini akan menjadi salah satu tempat pertama peristiwa ini tercatat. Tampaknya muncul di posisi teratas Google
    Sudah ada dua akun baru yang dibuat karena hal ini

    • Kelihatannya lebih dari dua
    • Saya mencari ke sana-sini tetapi tidak ada yang menyebutkannya, jadi saya sadar ini baru saja terjadi
  • Selama bertahun-tahun saya memakai akun IA dengan alamat Gmail, lalu 9 bulan lalu saya mengganti email ke alamat masking yang dibuat dengan domain saya sendiri
    Namun sekarang saya lihat alamat Gmail saya masih tersimpan dan termasuk dalam kebocoran. Kenapa begitu?
    Saya mengerti mereka bisa menyimpan riwayat perubahan, tetapi kenapa harus menyimpannya?
    Untuk informasi akun saat ini, saya sudah mengganti kata sandi ke string acak lain yang dibuat pengelola kata sandi, lalu menghapus alamat email masking dan membuat yang baru
    Ke depannya hal seperti ini tidak akan menjadi masalah besar bagi saya

    • Situasi saya mirip. Awalnya saya mendaftar dengan akun utama, lalu kemudian mengganti email IA ke alamat yang lebih pribadi
      Yang pertama saya cek di HaveIBeenPwned adalah email awal itu, tetapi tidak muncul dalam kebocoran kali ini
      Beberapa akun lain yang memakai email dan kata sandi khusus IA semuanya muncul dengan benar dalam kebocoran ini
      Saya tidak bisa menjelaskan kenapa situasinya bisa begitu, tetapi saya juga langsung memikirkan hal yang sama dan ingin meninggalkan contoh yang berlawanan
    • Ada kemungkinan pembobolan terjadi lebih awal dari yang dilaporkan, atau berlangsung lebih lama