Une fenêtre contextuelle JavaScript illicite sur Web Archive a proclamé mercredi après-midi que le web site avait subi une violation majeure de données. Quelques heures plus tard, l’organisation a confirmé l’incident.
Troy Hunt, chercheur en sécurité de longue date, qui gère le web site Internet de notification de violation de données Ai-je été pwned (HIBP) également confirmé que la violation est légitime. Il a déclaré que cela s’était produit en septembre et que le trésor volé contenait 31 thousands and thousands d’adresses e-mail uniques ainsi que des noms d’utilisateur. hachages de mot de passe bcryptet d’autres données du système. Ordinateur Bleeping, qui a signalé pour la première fois la violationa également confirmé la validité des données.
Web Archive n’a pas renvoyé plusieurs demandes de commentaires de WIRED.
« Avez-vous déjà eu l’impression qu’Web Archive fonctionne sur des clés USB et est constamment sur le level de subir une faille de sécurité catastrophique ? » ont écrit les attaquants dans le message contextuel Web Archive de mercredi. « C’est juste arrivé. Voyez-vous 31 thousands and thousands d’entre vous sur HIBP ! »
En plus de la violation et de la dégradation du web site, Web Archive est aux prises avec une imprecise d’attaques par déni de service distribué qui ont interrompu ses companies par intermittence.
Le fondateur d’Web Archive, Brewster Kahle, a fourni une mise à jour publique mercredi soir dans un put up sur le réseau social X. « Ce que l’on sait : attaque DDOS – repoussée pour l’on the spot ; dégradation de notre web site Internet through la bibliothèque JS ; violation des noms d’utilisateur/e-mail/mots de passe cryptés avec sel. Ce que nous avons fait : Désactivation de la bibliothèque JS, nettoyage des systèmes, mise à niveau de la sécurité. Je partagerai davantage tel que nous le connaissons. Les « systèmes de nettoyage » font référence à des companies qui offrent une safety contre les attaques DDoS en filtrant le trafic indésirable malveillant afin qu’il ne puisse pas inonder et perturber un web site Internet.
Web Archive a été confronté à de nombreuses attaques DDoS agressives dans le passé, notamment fin mai. Comme Kahlé a écrit mercredi : « L’attaque DDoS d’hier contre @internetarchive s’est répétée aujourd’hui. Nous travaillons pour remettre http://archive.org en ligne. Le groupe hacktiviste connu sous le nom de BlackMeta revendiqué la responsabilité pour les attaques DDoS de cette semaine et a annoncé son intention d’en mener davantage contre Web Archive. Toutefois, l’auteur de la violation de données n’est pas encore connu.
Web Archive a été confronté à des batailles sur de nombreux fronts ces derniers mois. Outre les attaques DDoS répétées, l’organisation est également confrontée des défis juridiques croissants. Il a récemment perdu un appel dans Hachette c. Web Archiveun procès intenté par des éditeurs de livres, qui affirmaient que leur bibliothèque de prêt numérique violait la loi sur le droit d’auteur. Aujourd’hui, il fait face à une menace existentielle sous la forme d’un autre procès en matière de droits d’auteur, celui-ci de la half des labels de musique, qui pourrait entraîner des dommages allant jusqu’à 621 thousands and thousands de {dollars} si le tribunal se prononce contre les archives.
Hunt de HIBP dit qu’il a reçu pour la première fois les données volées d’Web Archive le 30 septembre, les a examinées le 5 octobre et en a averti l’organisation le 6 octobre. Il dit que le groupe lui a confirmé la violation le lendemain et qu’il prévoyait de charger les données dans HIBP et informera ses abonnés de la violation mercredi. « Ils sont dégradés et victimes de DDoS, juste au second où les données sont chargées dans HIBP », Hunt a écrit. « Le timing sur ce dernier level semble être entièrement une coïncidence. »
Hunt a également ajouté que même s’il a encouragé le groupe à divulguer publiquement la violation de données avant la diffusion des notifications HIBP, les circonstances atténuantes peuvent expliquer le retard.
« Évidemment, j’aurais aimé voir cette divulgation beaucoup plus tôt, mais comprenant à quel level ils sont attaqués, je pense que tout le monde devrait leur laisser un peu de répit », a déclaré Hunt. a écrit. « Il s’agit d’une organisation à however non lucratif qui fait un wonderful travail et fournit un service sur lequel beaucoup d’entre nous comptent énormément. »
