1 ポイント 投稿者 GN⁺ 2024-10-10 | 1件のコメント | WhatsAppで共有
  • Internet Archiveの訪問者にサイト改ざんのポップアップが表示され、DDoS攻撃も続いたことで、3,100万件のアカウント情報が露出したという警告が公開された
  • 創設者のBrewster Kahleは米東部時間午後9時直後に侵害を認め、通知がJavaScriptライブラリを通じてWebサイトに挿入されたと明らかにした
  • Have I Been Pwned運営者のTroy Huntは、9日前に受け取ったファイルに3,100万件の固有メールアドレスが含まれており、それをユーザーアカウントデータと照合して有効性を確認した
  • 流出ファイルにはメールアドレス、表示名、パスワード変更タイムスタンプ、Bcryptハッシュ化パスワード、その他の内部データが含まれており、アカウントの54%は過去の侵害ですでにHIBPに登録されていた
  • ポップアップを閉じるとサイトは遅く読み込まれたが、米東部時間午後5時30分時点ではポップアップが消えた代わりに、サイトが空白または一時オフラインの案内のみを表示する状態だった

サイト改ざんと侵害の確認

  • 水曜日の午後、Internet Archiveにアクセスすると、サイトがハッキングされたと知らせるポップアップメッセージが表示された
  • ポップアップには、Internet Archiveが「棒切れで動いているように見え、壊滅的なセキュリティ侵害の直前のように感じられたことはないか」という文言とともに、「31 million of you on HIBP」と記されていた
  • 米東部時間午後9時直後、Internet Archive創設者のBrewster Kahleは侵害を認め、WebサイトがJavaScriptライブラリを通じてこの通知に改ざんされたと明らかにした

HIBPに渡されたアカウントデータ

  • HIBPはHave I Been Pwnedの略で、ユーザーがサイバー攻撃で流出したデータに自分の情報が含まれているかを確認できるサービス
  • HIBP運営者のTroy HuntはBleepingComputerに対し、9日前に3,100万件の固有メールアドレスを含むファイルを受け取ったと認めた
  • ファイルには次の情報が含まれていた
    • メールアドレス
    • 表示名
    • パスワード変更タイムスタンプ
    • Bcryptハッシュ化パスワード

      • その他の内部データ
      • Huntはこのデータをユーザーアカウントと照合し、有効性を確認した

公開手続きとDDoSが重なったタイミング

  • HIBPの投稿によると、流出アカウントの**54%**は過去の侵害により、すでにHIBPのデータベースに存在していた
  • Troy Huntは自身のアカウントで公開スケジュールも共有した
    • 10月6日にInternet Archiveへ侵害の事実を連絡した
    • 公開手続きを進めた
    • HIBPにデータを取り込み、影響を受けたユーザーへ通知を送ろうとしていたタイミングで、サイト改ざんとDDoSが同時に発生した

サイトアクセス状態の変化

  • ポップアップを閉じた後、サイトは正常に読み込まれたが、動作は遅かった
  • 米東部時間午後5時30分時点でポップアップは消えていたが、サイトも同時に表示されない状態だった
  • 訪問者には何も表示されないか、「Internet Archive services are temporarily offline」という一時オフラインの案内が表示され、Internet Archiveのアカウントへ誘導された

1件のコメント

 
GN⁺ 2024-10-10
Hacker Newsの意見
  • 個人情報の観点から見ると、IAに何かをアップロードしたことがある人は、メールアドレスが公開メタデータに露出している点も重要です
    あまり知られていないことですが、公開閲覧可能なすべてのアップロードメタデータには、アップローダーのIAアカウントのメールが含まれています
    セキュリティ面でも良くありませんが、アップロード経験のある多くのユーザーはこの詳細を知らなかった可能性が高いです

    • 興味深い疑問が生じます: メールアドレスは非公開であるべきか? 住所は非公開ではなく、多くのコンピューティング概念と同じくある程度は似ているとも言えます
      スパムフィルターが改善される前は、アドレス収集を防ぐために多少難読化するのが一般的でしたが、その時代は過ぎたようで、これは個人情報とはまた別の問題です
      誰かがアップロード後に絶対に追跡されたくないなら、どうせ使い捨てアドレスを使うべきです
      サービス管理者に「非公開」アドレスを提供しつつ、追加公開を明示的に禁じていなかったなら、Aliceに話したことをBobに伝えるなと求めていなかったのと似た話だと見なせます
    • アップロードだけでなく、メールアドレスを一意のユーザー識別子として使うすべての項目が該当します
      アップロードのXMLだけでなくプロフィールにもメールアドレスが含まれており、誰でもURLを https://archive.org/details/@foobar から https://archive.org/download/foobar に変えるだけでアクセスできます
      つまりアップロードの有無に関係なく、登録アカウントさえあれば露出する可能性があります
      https://help.archive.org/help/accounts-a-basic-guide-2/
    • これだけでも十分にひどいです。これ自体がプライバシーバグでありデータ漏えいです
      理論上は、誰かがページをスクレイピングして露出したメールアドレス一覧を作ることができます
    • 一つの解決策は、サイトごとに固有のメールアドレスを使い、そのサイトが侵害されたらそのアドレスを変え、既存のアドレスはスパムフィルターに入れることです
  • 昔の友人のウェブサイトをInternet Archiveからダウンロードして再公開しました
    彼は亡くなりましたが、そのサイトをよみがえらせることができて良かったです
    IAが永久に消えてしまうなら残念ですが、とにかく分散型の解決策が必要です
    私たちの集団的遺産を一つの巨大組織が管理する構造は良い考えではありません

    • ずっとこう考えていました。インターネット接続された機器にユーザーが少量の冗長なデータ断片を保存するようにしたら面白いのではないかと
      トレントと非常によく似ていますが、完全なコピーを持つシードよりも多くのピアと多くのデータ断片を置く方式です
      みんなのための巨大なデータベースを維持し、当然オープンソースにし、Torのようにセキュリティパッチでネットワークを支援しつつ、ネットワーク全体に対する実際の「管理者ダッシュボード式の統制」はない形にできるかもしれません
      ウェブサイトの静的ファイルキャッシュとして、より小規模で似たことはすでにやっていますが、ずっと小さいレベルです
      セキュリティ上の難しさは非常に大きいでしょうが、克服不可能ではないかもしれません。IPFSが近いですが、やはりシード中心に近いです
      こういうものに近いものを知っている人がいれば聞きたいです
    • だからこそBitTorrentや他のP2Pソリューションが発明されたのですが、現実はこうです: RIAA、MPAA、ESAがこれらの技術にひどい評判を着せてしまい、誰もシードの維持を好みません
      暗号資産がすでに悪魔化されていなければ、シーディングベースの暗号資産のようなインセンティブは素晴らしかったかもしれません
    • それがまさにトレントプロトコルであり、うまくいっていません
      一部の人しか気にしない映画や本をホスティングするために金と帯域を使いたがる人はいません
    • 古いサイトのためにこういうことを続けて試してみたいです。個人用のミニIAのようなものです
      wgetやcurlを使う以外で、IAから利用可能な完全なウェブサイトをダウンロードするコツはありますか?
    • とくに、すでに常に公正とは限らない姿を見せてきた組織であればなおさら、一か所に任せてはいけません
  • データ侵害に関する追加情報はこちらです。盗まれたデータベースには3,100万件のレコードが含まれています
    https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/

    • 攻撃者が盗んだデータをTroy Huntが作ったHave I Been Pwnedにしばしば共有すると言われますが、本当にそうなのでしょうか? なぜでしょう?
    • HIBPにまもなく追加されるとのことですが、archive.org専用に作った自分のメールアドレスはまだ出てきません
    • 気になるのは、Scott Helmeがどうやって自分の名前入りのパスワードハッシュを受け取ることになったのかという点です
    • これは、この種のデータベース漏えいが起きてもそのサイト以外には影響しないよう、アカウントごとに固有のパスワードを生成せよという親切な注意喚起です
  • たった今見たところ、サイトがこんな警告を表示しています:
    “Internet Archiveが棒で動いていて、いつでも壊滅的なセキュリティ侵害を起こしそうだと感じたことはありますか? たった今それが起きました。HIBPで3,100万人の皆さんに会いましょう!”

    • 面白いことに、私はすでにHIBPに数え切れないほど載っています
    • 悪意ある行為者なら、アカウントのメールと名前が漏えいしたと見てよいのでしょうか?
    • これが本物の警告なのか、それとも改ざんの痕跡なのか分かりません
      親しげだったりユーモアを狙ったりしたエラーメッセージは、ときどき区別しにくいです
  • 誰かがPolyfill用のサブドメインの一つを侵害したように見えます
    更新: 現在はそのサブドメインが再び正常な応答を返しているようです

    • IAがどこかのサブドメインからJavaScriptポリフィルを読み込んでいて、それが侵害された、あるいは警告が出た経路だったという意味でしょうか?
    • そうだとすると、JavaScriptの警告ポップアップをどう注入したのかをある程度説明できそうです
  • こんないたずらをした人間に呪いが本当に効いてほしいと思う瞬間です
    「お前とお前の子孫が悪行の報いとして、1万匹のノミに1万の夜かまれ続けますように」

  • 今言うのに良いタイミングではないかもしれないが、項目のあるコレクションを見て回りながら、ユーザー名と一緒に すべてのメールアドレス を取得するのは驚くほど簡単
    https://archive.org/metadata/naturally_a_girl/metadata
    どんな形であれ、ユーザー名に紐づいたメールアドレスを大量取得する人はいずれ現れていただろう
    ハッカーがどうやってデータベースを侵害し、パスワードを手に入れたのかは少し気になる

    • そんなことはまったく知らなかった。メールアドレスが公開されていると分かっていたら、確実にいくつか違う対応をしていたはず
      正直、設計上の欠陥 のように見える
    • その通りで、メールアドレスに関する懸念はずっと無視されてきた
      https://github.com/internetarchive/iaux/issues/892
  • どうしてよりにもよって Internet Archive を狙うんだ。他を狙えよ、このいまいましいアーカイブには手を出すな

    • 誰でも簡単にアクセスできる形の 分散型アーカイブ が必要だ
  • このスレッドは、この事件が記録される最初の場所の1つになりそうだ。Googleの最上位に出ているように見える
    すでにこの件が原因で新しく作られたアカウントが2つある

    • 2つどころではなさそう
    • あちこち探したがどこにも言及がなく、たった今起きた出来事なのだと気づいた
  • ここ数年、IAアカウントにはGmailアドレスを使っていて、9か月前に自分のドメインで作ったマスキングアドレスにメールを変更した
    ところが今見ると、Gmailアドレスがまだ保存 されていて流出に含まれていた。なぜだろう?
    変更履歴を保存すること自体は理解できるが、なぜ保持しておく必要があるのか?
    現在のアカウント情報としては、パスワードをパスワードマネージャーが生成した別のランダム文字列に変更し、マスキング用メールアドレスも削除して作り直した
    今後は、こうしたことが自分にとって大きな問題になることはないだろう

    • 似たような状況だった。最初はメインアカウントで登録し、その後でIAのメールアドレスをよりプライベートなアドレスに変更した
      HaveIBeenPwnedで最初に確認したのは最初のメールアドレスだったが、今回の漏えいには出てこなかった
      IA専用のメールアドレスとパスワードを使っている他のいくつかのアカウントは、今回の漏えいですべてきちんと表示された
      どうしてそういう状況が起きたのかは説明できないが、自分もまさにそれを考えていて、反対の事例も残しておきたかった
    • 侵害は報告されている時点よりも早く発生していたか、あるいはもっと長期間続いていた可能性もある