- Pengunjung Internet Archive melihat popup hasil perusakan situs, dan ketika serangan DDoS juga berlanjut, muncul peringatan bahwa informasi 31 juta akun telah terekspos
- Pendiri Brewster Kahle mengonfirmasi pembobolan tak lama setelah 9PM ET, dan menyatakan bahwa notifikasi tersebut disisipkan ke situs web melalui library JavaScript
- Operator Have I Been Pwned, Troy Hunt, mengatakan file yang ia terima 9 hari sebelumnya berisi 31 juta alamat email unik, dan ia memverifikasi keabsahannya dengan mencocokkannya dengan data akun pengguna
- File yang bocor mencakup alamat email, nama tampilan, timestamp perubahan kata sandi, kata sandi hash Bcrypt, serta data internal lainnya; 54% akun sudah ada di HIBP dari pembobolan sebelumnya
- Setelah popup ditutup, situs memuat dengan lambat, tetapi per 5:30PM ET popup sudah hilang dan situs hanya menampilkan halaman kosong atau pemberitahuan sementara bahwa layanan offline
Perusakan situs dan konfirmasi pembobolan
- Pada Rabu sore, saat mengunjungi Internet Archive, muncul pesan popup yang menyatakan bahwa situs tersebut telah diretas
- Popup tersebut berisi kalimat yang menyinggung apakah Internet Archive pernah “terasa seperti berjalan dengan ranting dan berada di ambang catastrophic security breach”, disertai pesan “31 million of you on HIBP”
- Tak lama setelah 9PM ET, pendiri Internet Archive Brewster Kahle mengonfirmasi pembobolan tersebut dan menyatakan bahwa situs web telah dirusak dengan notifikasi itu melalui library JavaScript
Data akun yang diserahkan ke HIBP
- HIBP adalah singkatan dari Have I Been Pwned, layanan yang memungkinkan pengguna memeriksa apakah informasi mereka termasuk dalam data yang bocor akibat serangan siber
- Operator HIBP, Troy Hunt, mengonfirmasi kepada BleepingComputer bahwa ia menerima file berisi 31 juta alamat email unik 9 hari sebelumnya
- File tersebut berisi informasi berikut
- Alamat email
- Nama tampilan
- Timestamp perubahan kata sandi
-
Kata sandi hash Bcrypt
- Data internal lainnya
- Hunt memverifikasi keabsahan data tersebut dengan mencocokkannya dengan akun pengguna
Proses publikasi dan waktu yang berbarengan dengan DDoS
- Menurut postingan HIBP, 54% akun yang bocor sudah ada di database HIBP dari pembobolan sebelumnya
- Troy Hunt juga membagikan jadwal publikasi melalui akunnya
- Pada 6 Oktober, ia menghubungi Internet Archive mengenai pembobolan tersebut
- Ia menjalankan proses publikasi
- Saat ia hendak memuat data ke HIBP dan mengirim notifikasi kepada pengguna terdampak, perusakan situs dan DDoS terjadi secara bersamaan
Perubahan status akses situs
- Setelah popup ditutup, situs dimuat secara normal tetapi berjalan lambat
- Per 5:30PM ET, popup sudah hilang, tetapi situsnya juga ikut tidak terlihat
- Pengunjung tidak melihat apa pun atau melihat pemberitahuan offline sementara bertuliskan “Internet Archive services are temporarily offline”, dan diarahkan ke akun Internet Archive
1 komentar
Opini Hacker News
Dari sudut pandang privasi, penting juga bahwa siapa pun yang pernah mengunggah sesuatu ke IA sebenarnya sudah terekspos karena alamat emailnya muncul di metadata publik
Ini bukan fakta yang umum diketahui, tetapi semua metadata unggahan yang bisa dilihat publik memuat email akun IA milik pengunggah
Ini buruk dari sisi keamanan, dan banyak pengguna yang pernah mengunggah kemungkinan besar tidak mengetahui detail ini
Sebelum filter spam membaik, orang sering sedikit mengaburkan alamat untuk mencegah pemanenan alamat, tetapi masa itu tampaknya sudah lewat, dan itu juga isu yang terpisah dari privasi
Jika seseorang sama sekali tidak ingin dilacak setelah mengunggah, ia memang harus memakai alamat sekali pakai
Jika Anda memberikan alamat “privat” kepada admin layanan tanpa secara eksplisit melarang publikasi lebih lanjut, itu bisa dilihat mirip seperti mengatakan sesuatu kepada Alice tanpa meminta agar ia tidak menyampaikannya kepada Bob
Alamat email ada bukan hanya di XML unggahan, tetapi juga di profil, dan siapa pun bisa mengaksesnya hanya dengan mengubah URL dari https://archive.org/details/@foobar menjadi https://archive.org/download/foobar
Artinya, terlepas dari pernah mengunggah atau tidak, siapa pun yang hanya memiliki akun terdaftar bisa terekspos
https://help.archive.org/help/accounts-a-basic-guide-2/
Secara teori, seseorang bisa mengikis halaman dan membuat daftar alamat email yang terekspos
Saya pernah mengunduh situs web teman lama dari Internet Archive lalu mengunggahnya kembali
Ia sudah meninggal, tetapi saya bersyukur bisa menghidupkan kembali situs itu
Akan menyedihkan jika IA hilang selamanya, tetapi bagaimanapun kita membutuhkan solusi terdesentralisasi
Struktur di mana satu organisasi raksasa mengelola warisan kolektif kita bukanlah ide yang bagus
Sangat mirip torrent, tetapi dengan lebih banyak peer dan lebih banyak potongan data daripada seed yang memiliki salinan lengkap
Bentuknya bisa berupa basis data raksasa untuk semua orang, tentu saja open source, membantu jaringan lewat patch keamanan seperti Tor, tetapi tanpa “kontrol bergaya dashboard admin” yang nyata atas keseluruhan jaringan
Kita sudah melakukan hal serupa dalam skala lebih kecil lewat caching file statis situs web, tetapi skalanya jauh lebih kecil
Tantangan keamanannya akan sangat besar, tetapi mungkin tidak mustahil diatasi. IPFS mendekati ini, tetapi lagi-lagi lebih dekat ke model berbasis seed
Kalau ada yang tahu sesuatu yang mirip dengan ini, saya ingin mendengarnya
Jika cryptocurrency belum telanjur didemonisasi, insentif seperti cryptocurrency berbasis seeding mungkin bisa sangat bagus
Tidak ada yang ingin menghabiskan uang dan bandwidth untuk meng-host film atau buku yang hanya dipedulikan segelintir orang
Selain memakai wget atau curl, adakah tips untuk mengunduh situs web lengkap yang tersedia di IA?
Ada informasi tambahan tentang pelanggaran data di sini. Basis data yang dicuri berisi 31 juta record
https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/
Baru saja saya lihat situsnya menampilkan peringatan seperti ini:
“Pernah merasa Internet Archive berjalan hanya dengan tongkat dan bisa mengalami pelanggaran keamanan katastrofik kapan saja? Itu baru saja terjadi. Sampai jumpa di HIBP, 31 juta dari kalian!”
Pesan error yang ramah atau mencoba melucu kadang sulit dibedakan
Sepertinya seseorang telah membobol salah satu subdomain untuk Polyfill
Pembaruan: sekarang subdomain itu tampaknya sudah kembali memberikan respons normal
Ini saat ketika kita berharap kutukan benar-benar bekerja pada orang yang melakukan keisengan seperti ini
“Semoga engkau dan keturunanmu, sebagai hukuman atas perbuatan jahatmu, digigit 10.000 kutu selama 10.000 malam”
Mungkin ini bukan saat yang tepat untuk mengatakannya, tetapi ternyata sangat mudah menelusuri koleksi yang berisi item dan mengambil semua email beserta nama penggunanya
https://archive.org/metadata/naturally_a_girl/metadata
Pada akhirnya pasti akan ada orang yang mengambil email yang tertaut ke nama pengguna secara massal dengan cara tertentu
Saya agak penasaran bagaimana peretas bisa membobol database dan mendapatkan kata sandi
Jujur, ini terlihat seperti cacat desain
https://github.com/internetarchive/iaux/issues/892
Kenapa harus menargetkan Internet Archive. Targetkan yang lain saja, jangan sentuh arsip sialan itu
Sepertinya thread ini akan menjadi salah satu tempat pertama peristiwa ini tercatat. Tampaknya muncul di posisi teratas Google
Sudah ada dua akun baru yang dibuat karena hal ini
Selama bertahun-tahun saya memakai akun IA dengan alamat Gmail, lalu 9 bulan lalu saya mengganti email ke alamat masking yang dibuat dengan domain saya sendiri
Namun sekarang saya lihat alamat Gmail saya masih tersimpan dan termasuk dalam kebocoran. Kenapa begitu?
Saya mengerti mereka bisa menyimpan riwayat perubahan, tetapi kenapa harus menyimpannya?
Untuk informasi akun saat ini, saya sudah mengganti kata sandi ke string acak lain yang dibuat pengelola kata sandi, lalu menghapus alamat email masking dan membuat yang baru
Ke depannya hal seperti ini tidak akan menjadi masalah besar bagi saya
Yang pertama saya cek di HaveIBeenPwned adalah email awal itu, tetapi tidak muncul dalam kebocoran kali ini
Beberapa akun lain yang memakai email dan kata sandi khusus IA semuanya muncul dengan benar dalam kebocoran ini
Saya tidak bisa menjelaskan kenapa situasinya bisa begitu, tetapi saya juga langsung memikirkan hal yang sama dan ingin meninggalkan contoh yang berlawanan