- Khách truy cập Internet Archive thấy hiện popup bị chỉnh sửa giao diện và tấn công DDoS cũng tiếp diễn, kèm theo cảnh báo rằng dữ liệu của 31 triệu tài khoản đã bị lộ
- Nhà sáng lập Brewster Kahle cho biết đã xác nhận vụ xâm nhập ngay sau 9PM ET, và thông báo này đã được chèn vào website thông qua một thư viện JavaScript
- Người vận hành Have I Been Pwned là Troy Hunt cho biết tệp ông nhận được 9 ngày trước chứa 31 triệu địa chỉ email duy nhất, và ông đã đối chiếu với dữ liệu tài khoản người dùng để xác thực
- Tệp bị rò rỉ gồm địa chỉ email, tên hiển thị, dấu thời gian đổi mật khẩu, mật khẩu băm bằng Bcrypt và các dữ liệu nội bộ khác; 54% số tài khoản này đã có trong HIBP từ các vụ xâm nhập trước đó
- Sau khi đóng popup, trang tải chậm; nhưng tính đến 5:30PM ET, popup đã biến mất và thay vào đó trang trống hoặc chỉ hiển thị thông báo tạm thời ngoại tuyến
Xác nhận giao diện bị chỉnh sửa và xâm nhập
- Khi truy cập Internet Archive vào chiều thứ Tư, người dùng thấy thông báo popup cho biết trang đã bị hack
- Popup có nội dung rằng Internet Archive “trông như đang vận hành bằng gậy chống” và hỏi liệu có khi nào “cảm giác như sắp xảy ra một catastrophic security breach” hay không, kèm câu “31 million of you on HIBP”
- Ngay sau 9PM ET, nhà sáng lập Internet Archive Brewster Kahle đã xác nhận vụ xâm nhập và cho biết website đã bị chỉnh sửa để hiển thị thông báo đó thông qua một thư viện JavaScript
Dữ liệu tài khoản được chuyển cho HIBP
- HIBP là viết tắt của Have I Been Pwned, dịch vụ cho phép người dùng kiểm tra xem thông tin của mình có nằm trong dữ liệu bị rò rỉ từ các cuộc tấn công mạng hay không
- Troy Hunt, người vận hành HIBP, xác nhận với BleepingComputer rằng ông đã nhận được một tệp chứa 31 triệu địa chỉ email duy nhất từ 9 ngày trước
- Tệp bao gồm các thông tin sau
- Địa chỉ email
- Tên hiển thị
- Dấu thời gian đổi mật khẩu
-
Mật khẩu băm bằng Bcrypt
- Các dữ liệu nội bộ khác
- Hunt đã đối chiếu dữ liệu này với tài khoản người dùng để xác thực
Thời điểm quy trình công bố trùng với DDoS
- Theo bài đăng của HIBP, 54% số tài khoản bị lộ đã tồn tại trong cơ sở dữ liệu HIBP từ các vụ xâm nhập trước đó
- Troy Hunt cũng chia sẻ lịch trình công bố trên tài khoản của mình
- Đã liên hệ Internet Archive về vụ xâm nhập vào ngày 6 tháng 10
- Đã tiến hành quy trình công bố
- Đúng lúc chuẩn bị nạp dữ liệu vào HIBP để gửi thông báo cho người dùng bị ảnh hưởng thì việc chỉnh sửa website và DDoS xảy ra cùng lúc
Thay đổi trong trạng thái truy cập website
- Sau khi đóng popup, website vẫn tải bình thường nhưng hoạt động chậm
- Tính đến 5:30PM ET, popup đã biến mất nhưng website cũng không còn hiển thị nội dung
- Khách truy cập либо không thấy gì, либо chỉ thấy thông báo tạm thời ngoại tuyến “Internet Archive services are temporarily offline”, kèm hướng dẫn tới tài khoản của Internet Archive
1 bình luận
Ý kiến trên Hacker News
Nhìn từ góc độ quyền riêng tư, điều quan trọng nữa là bất kỳ ai từng tải nội dung lên IA thì địa chỉ email đã bị lộ trong siêu dữ liệu công khai
Đây không phải là điều nhiều người biết, nhưng mọi siêu dữ liệu tải lên có thể xem công khai đều chứa email tài khoản IA của người tải lên
Điều này cũng tệ xét từ góc độ bảo mật, nhưng nhiều người dùng từng tải lên có lẽ không biết chi tiết này
Trước khi bộ lọc spam trở nên tốt hơn, việc làm rối nhẹ địa chỉ để ngăn thu thập là chuyện phổ biến, nhưng có vẻ thời đó đã qua, và đây cũng là vấn đề tách biệt với quyền riêng tư
Nếu ai đó tuyệt đối không muốn bị truy vết sau khi tải lên thì dù sao cũng nên dùng địa chỉ dùng một lần
Nếu bạn cung cấp một địa chỉ “riêng tư” cho quản trị viên dịch vụ nhưng không cấm rõ ràng việc công khai thêm, thì cũng giống như việc không yêu cầu Alice đừng kể cho Bob những gì bạn đã nói
Không chỉ XML của bản tải lên mà cả hồ sơ cũng chứa địa chỉ email, và bất kỳ ai cũng có thể truy cập chỉ bằng cách đổi URL từ https://archive.org/details/@foobar thành https://archive.org/download/foobar
Nói cách khác, chỉ cần có tài khoản đã đăng ký thì có thể bị lộ, bất kể có tải lên hay không
https://help.archive.org/help/accounts-a-basic-guide-2/
Về lý thuyết, ai đó có thể quét các trang để lập danh sách địa chỉ email bị lộ
Tôi đã tải website của một người bạn cũ từ Internet Archive xuống rồi đưa lên lại
Anh ấy đã qua đời, nhưng tôi rất mừng vì có thể hồi sinh trang đó
Sẽ rất đáng tiếc nếu IA biến mất vĩnh viễn, nhưng dù sao cũng cần một giải pháp phi tập trung
Việc để một tổ chức khổng lồ duy nhất quản lý di sản tập thể của chúng ta không phải là ý hay
Rất giống torrent, nhưng theo kiểu có nhiều peer hơn và nhiều mảnh dữ liệu hơn so với các seed có bản sao đầy đủ
Có thể duy trì một cơ sở dữ liệu khổng lồ cho tất cả mọi người, tất nhiên là mã nguồn mở, giúp mạng bằng các bản vá bảo mật như Tor, nhưng không có “quyền kiểm soát kiểu bảng điều khiển quản trị” thực sự đối với toàn bộ mạng
Chúng ta đã làm việc tương tự ở quy mô nhỏ hơn với bộ nhớ đệm tệp tĩnh của website, nhưng mức đó nhỏ hơn nhiều
Khó khăn về bảo mật sẽ rất lớn, nhưng có lẽ không phải là không thể vượt qua. IPFS khá gần, nhưng lại thiên về seed hơn
Nếu ai biết thứ gì tương tự như vậy thì tôi muốn nghe
Nếu tiền mã hóa chưa bị bêu xấu sẵn, thì các khuyến khích kiểu tiền mã hóa dựa trên seeding có thể đã rất tuyệt
Không ai muốn tốn tiền và băng thông để host một bộ phim hay cuốn sách mà chỉ vài người quan tâm
Ngoài việc dùng wget hay curl, có mẹo nào để tải xuống một website hoàn chỉnh có thể dùng được từ IA không?
Có thêm thông tin về vụ xâm phạm dữ liệu ở đây. Cơ sở dữ liệu bị đánh cắp chứa 31 triệu bản ghi
https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/
Vừa nhìn thì thấy trang hiện cảnh báo như sau:
“Bạn từng cảm thấy Internet Archive đang vận hành bằng que củi và sắp gặp một vụ xâm phạm bảo mật thảm khốc bất cứ lúc nào chưa? Vừa xảy ra rồi đấy. Hẹn gặp 31 triệu người các bạn trên HIBP!”
Các thông báo lỗi thân thiện hoặc cố tỏ ra hài hước đôi khi rất khó phân biệt
Có vẻ ai đó đã xâm nhập một subdomain dùng cho Polyfill
Cập nhật: hiện tại subdomain dường như đã trả về phản hồi bình thường trở lại
Đây là khoảnh khắc khiến người ta mong lời nguyền thực sự linh nghiệm với kẻ đã bày ra trò này
“Cầu cho ngươi và con cháu ngươi phải chịu hình phạt vì hành ác: bị 10.000 con bọ chét cắn suốt 10.000 đêm”
Có lẽ đây không phải lúc thích hợp để nói, nhưng khi duyệt qua các bộ sưu tập có mục, việc lấy toàn bộ email kèm tên người dùng dễ đến ngạc nhiên
https://archive.org/metadata/naturally_a_girl/metadata
Kiểu gì rồi cũng sẽ có người thu thập hàng loạt email gắn với tên người dùng theo cách nào đó
Tôi hơi tò mò hacker đã xâm nhập cơ sở dữ liệu và lấy mật khẩu như thế nào
Thành thật mà nói, trông như một lỗi thiết kế
https://github.com/internetarchive/iaux/issues/892
Tại sao lại nhắm vào Internet Archive chứ. Nhắm vào thứ khác đi, đừng đụng vào cái kho lưu trữ chết tiệt ấy
Có vẻ luồng này sẽ là một trong những nơi đầu tiên ghi nhận vụ việc này. Hình như nó đang hiện ở đầu Google
Đã có hai tài khoản mới được tạo vì chuyện này rồi
Tôi đã dùng tài khoản IA bằng địa chỉ Gmail trong nhiều năm, rồi 9 tháng trước đổi email sang một địa chỉ che giấu tạo bằng tên miền của tôi
Nhưng giờ nhìn lại thì địa chỉ Gmail của tôi vẫn được lưu và nằm trong vụ rò rỉ. Tại sao lại vậy?
Tôi hiểu là có thể lưu lịch sử thay đổi, nhưng tại sao phải giữ lại?
Thông tin tài khoản hiện tại thì tôi đã đổi mật khẩu sang một chuỗi ngẫu nhiên khác do trình quản lý mật khẩu tạo, đồng thời xóa địa chỉ email che giấu rồi tạo địa chỉ mới
Từ nay chuyện như thế này sẽ không còn là vấn đề lớn với tôi
Thứ đầu tiên tôi kiểm tra trên HaveIBeenPwned là email ban đầu, nhưng nó không xuất hiện trong vụ rò rỉ lần này
Một vài tài khoản khác dùng email và mật khẩu dành riêng cho IA thì đều hiển thị đúng trong vụ rò rỉ này
Tôi không giải thích được vì sao lại có tình huống đó, nhưng tôi cũng nghĩ ngay đến điều này và muốn để lại một trường hợp ngược lại