Internet Archiveのハッキング事件:3,100万件のアカウント情報流出を警告
(theverge.com)- Internet Archiveの訪問者にサイト改ざんのポップアップが表示され、DDoS攻撃も続いたことで、3,100万件のアカウント情報が露出したという警告が公開された
- 創設者のBrewster Kahleは米東部時間午後9時直後に侵害を認め、通知がJavaScriptライブラリを通じてWebサイトに挿入されたと明らかにした
- Have I Been Pwned運営者のTroy Huntは、9日前に受け取ったファイルに3,100万件の固有メールアドレスが含まれており、それをユーザーアカウントデータと照合して有効性を確認した
- 流出ファイルにはメールアドレス、表示名、パスワード変更タイムスタンプ、Bcryptハッシュ化パスワード、その他の内部データが含まれており、アカウントの54%は過去の侵害ですでにHIBPに登録されていた
- ポップアップを閉じるとサイトは遅く読み込まれたが、米東部時間午後5時30分時点ではポップアップが消えた代わりに、サイトが空白または一時オフラインの案内のみを表示する状態だった
サイト改ざんと侵害の確認
- 水曜日の午後、Internet Archiveにアクセスすると、サイトがハッキングされたと知らせるポップアップメッセージが表示された
- ポップアップには、Internet Archiveが「棒切れで動いているように見え、壊滅的なセキュリティ侵害の直前のように感じられたことはないか」という文言とともに、「31 million of you on HIBP」と記されていた
- 米東部時間午後9時直後、Internet Archive創設者のBrewster Kahleは侵害を認め、WebサイトがJavaScriptライブラリを通じてこの通知に改ざんされたと明らかにした
HIBPに渡されたアカウントデータ
- HIBPはHave I Been Pwnedの略で、ユーザーがサイバー攻撃で流出したデータに自分の情報が含まれているかを確認できるサービス
- HIBP運営者のTroy HuntはBleepingComputerに対し、9日前に3,100万件の固有メールアドレスを含むファイルを受け取ったと認めた
- ファイルには次の情報が含まれていた
- メールアドレス
- 表示名
- パスワード変更タイムスタンプ
-
Bcryptハッシュ化パスワード
- その他の内部データ
- Huntはこのデータをユーザーアカウントと照合し、有効性を確認した
公開手続きとDDoSが重なったタイミング
- HIBPの投稿によると、流出アカウントの**54%**は過去の侵害により、すでにHIBPのデータベースに存在していた
- Troy Huntは自身のアカウントで公開スケジュールも共有した
- 10月6日にInternet Archiveへ侵害の事実を連絡した
- 公開手続きを進めた
- HIBPにデータを取り込み、影響を受けたユーザーへ通知を送ろうとしていたタイミングで、サイト改ざんとDDoSが同時に発生した
サイトアクセス状態の変化
- ポップアップを閉じた後、サイトは正常に読み込まれたが、動作は遅かった
- 米東部時間午後5時30分時点でポップアップは消えていたが、サイトも同時に表示されない状態だった
- 訪問者には何も表示されないか、「Internet Archive services are temporarily offline」という一時オフラインの案内が表示され、Internet Archiveのアカウントへ誘導された
1件のコメント
Hacker Newsの意見
個人情報の観点から見ると、IAに何かをアップロードしたことがある人は、メールアドレスが公開メタデータに露出している点も重要です
あまり知られていないことですが、公開閲覧可能なすべてのアップロードメタデータには、アップローダーのIAアカウントのメールが含まれています
セキュリティ面でも良くありませんが、アップロード経験のある多くのユーザーはこの詳細を知らなかった可能性が高いです
スパムフィルターが改善される前は、アドレス収集を防ぐために多少難読化するのが一般的でしたが、その時代は過ぎたようで、これは個人情報とはまた別の問題です
誰かがアップロード後に絶対に追跡されたくないなら、どうせ使い捨てアドレスを使うべきです
サービス管理者に「非公開」アドレスを提供しつつ、追加公開を明示的に禁じていなかったなら、Aliceに話したことをBobに伝えるなと求めていなかったのと似た話だと見なせます
アップロードのXMLだけでなくプロフィールにもメールアドレスが含まれており、誰でもURLを https://archive.org/details/@foobar から https://archive.org/download/foobar に変えるだけでアクセスできます
つまりアップロードの有無に関係なく、登録アカウントさえあれば露出する可能性があります
https://help.archive.org/help/accounts-a-basic-guide-2/
理論上は、誰かがページをスクレイピングして露出したメールアドレス一覧を作ることができます
昔の友人のウェブサイトをInternet Archiveからダウンロードして再公開しました
彼は亡くなりましたが、そのサイトをよみがえらせることができて良かったです
IAが永久に消えてしまうなら残念ですが、とにかく分散型の解決策が必要です
私たちの集団的遺産を一つの巨大組織が管理する構造は良い考えではありません
トレントと非常によく似ていますが、完全なコピーを持つシードよりも多くのピアと多くのデータ断片を置く方式です
みんなのための巨大なデータベースを維持し、当然オープンソースにし、Torのようにセキュリティパッチでネットワークを支援しつつ、ネットワーク全体に対する実際の「管理者ダッシュボード式の統制」はない形にできるかもしれません
ウェブサイトの静的ファイルキャッシュとして、より小規模で似たことはすでにやっていますが、ずっと小さいレベルです
セキュリティ上の難しさは非常に大きいでしょうが、克服不可能ではないかもしれません。IPFSが近いですが、やはりシード中心に近いです
こういうものに近いものを知っている人がいれば聞きたいです
暗号資産がすでに悪魔化されていなければ、シーディングベースの暗号資産のようなインセンティブは素晴らしかったかもしれません
一部の人しか気にしない映画や本をホスティングするために金と帯域を使いたがる人はいません
wgetやcurlを使う以外で、IAから利用可能な完全なウェブサイトをダウンロードするコツはありますか?
データ侵害に関する追加情報はこちらです。盗まれたデータベースには3,100万件のレコードが含まれています
https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/
たった今見たところ、サイトがこんな警告を表示しています:
“Internet Archiveが棒で動いていて、いつでも壊滅的なセキュリティ侵害を起こしそうだと感じたことはありますか? たった今それが起きました。HIBPで3,100万人の皆さんに会いましょう!”
親しげだったりユーモアを狙ったりしたエラーメッセージは、ときどき区別しにくいです
誰かがPolyfill用のサブドメインの一つを侵害したように見えます
更新: 現在はそのサブドメインが再び正常な応答を返しているようです
こんないたずらをした人間に呪いが本当に効いてほしいと思う瞬間です
「お前とお前の子孫が悪行の報いとして、1万匹のノミに1万の夜かまれ続けますように」
今言うのに良いタイミングではないかもしれないが、項目のあるコレクションを見て回りながら、ユーザー名と一緒に すべてのメールアドレス を取得するのは驚くほど簡単
https://archive.org/metadata/naturally_a_girl/metadata
どんな形であれ、ユーザー名に紐づいたメールアドレスを大量取得する人はいずれ現れていただろう
ハッカーがどうやってデータベースを侵害し、パスワードを手に入れたのかは少し気になる
正直、設計上の欠陥 のように見える
https://github.com/internetarchive/iaux/issues/892
どうしてよりにもよって Internet Archive を狙うんだ。他を狙えよ、このいまいましいアーカイブには手を出すな
このスレッドは、この事件が記録される最初の場所の1つになりそうだ。Googleの最上位に出ているように見える
すでにこの件が原因で新しく作られたアカウントが2つある
ここ数年、IAアカウントにはGmailアドレスを使っていて、9か月前に自分のドメインで作ったマスキングアドレスにメールを変更した
ところが今見ると、Gmailアドレスがまだ保存 されていて流出に含まれていた。なぜだろう?
変更履歴を保存すること自体は理解できるが、なぜ保持しておく必要があるのか?
現在のアカウント情報としては、パスワードをパスワードマネージャーが生成した別のランダム文字列に変更し、マスキング用メールアドレスも削除して作り直した
今後は、こうしたことが自分にとって大きな問題になることはないだろう
HaveIBeenPwnedで最初に確認したのは最初のメールアドレスだったが、今回の漏えいには出てこなかった
IA専用のメールアドレスとパスワードを使っている他のいくつかのアカウントは、今回の漏えいですべてきちんと表示された
どうしてそういう状況が起きたのかは説明できないが、自分もまさにそれを考えていて、反対の事例も残しておきたかった