Новость о взломе начала распространяться в среду 9 октября, когда посетители сайта archive.org увидели предупреждение на JavaScript, созданное хакером, в котором говорилось, что в Архиве Интернета произошла утечка данных.
В предупреждении на взломанном сайте сообщалось:
Вы когда-нибудь чувствовали, что Архив Интернета работает как попало и постоянно находится на грани серьезного взлома? Это только что случилось. Увидимся, 31 миллион из вас, на HIBP!
Аббревиатура «HIBP» относится к сервису уведомлений о взломах Have I Been Pwned, созданному Троем Хантом (Troy Hunt), с которым злоумышленники часто делятся украденными данными.
Хант сообщил порталу BleepingComputer, что злоумышленник передал базу данных аутентификации Архива Интернета девять дней назад. Файл SQL объемом 6,4 ГБ под названием «ia_users.sql» содержит информацию об аутентификации зарегистрированных пользователей, включая их адреса электронной почты, никнеймы, временные метки изменения паролей, хешированные пароли (Bcrypt) и другие внутренние данные.
Самая последняя временная метка в украденных записях датируется 28 сентября 2024 года — вероятно, именно тогда была украдена база данных.
По словам Ханта, в базе данных содержится 31 миллион уникальных адресов электронной почты, многие из которых подписаны на сервис уведомлений о взломах HIBP. Данные скоро будут добавлены в HIBP, что позволит пользователям ввести свой электронный адрес и проверить, подверглись ли их данные утечке.
Подлинность данных была подтверждена после того, как Хант связался с пользователями, указанными в базах данных, включая исследователя кибербезопасности Скотта Хелма (Scott Helme).
Пример записи:
9887370, [email protected],a$Bho2e2ptPnFRJyJKIn5BiehIDiEwhjfMZFVRM9fRCarKXkemA3PxuScottHelme,2020-06-25,2020-06-25,[email protected],2020-06-25 13:22:52.7608520,\N0\N\N@scotthelme\N\N\N
Хелм подтвердил, что зашифрованный хеш пароля в записи данных соответствует тому, что хранится в его менеджере паролей. Он также подтвердил, что временная метка в записи базы данных совпадает с датой, когда он последний раз менял пароль в своем менеджере паролей.
Хант сообщил, что три дня назад связался с Архивом Интернета и начал процесс раскрытия данных, указав, что данные будут загружены в сервис в течение 72 часов, но с тех пор ответа не получил.
Неизвестно, каким образом злоумышленники взломали Архив Интернета и были ли украдены какие-либо другие данные.
Ранее 9 октября 2024 года Архив Интернета подвергся DDoS-атаке, ответственность за которую взяла на себя хакерская группа BlackMeta. Злоумышленники заявили, что будут проводить дополнительные атаки.
Угрозы безопасности
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах
• Повторный взлом «Архива Интернета»: злоумышленники используют украденные токены доступа
• Партнёр ESET взломан: фишинговая атака с использованием уничтожителей данных
• Архив Интернета взломан: украдены данные 31 миллиона пользователей
• Целевая атака на «Доктор Веб»: что нужно знать пользователям