Що сталося
Уже кілька днів користувачі стикаються зі спливаючим вікном під час відвідування сайту The Wayback Machine. У ньому йдеться: "Ви коли-небудь відчували, що Інтернет-архів працює на соломинках і постійно перебуває на межі катастрофічного порушення безпеки? Це щойно сталося. Шукайте 31 мільйон ваших акаунтів на HIBP". Це повідомлення залишили хакери, які зламали сайт, викравши цілу купу даних користувачів, пише The Verge. Але паралельно з цим сервіс зазнав кількох потужних DDoS-атак.
Дивіться також Потенційна катастрофа: Китай зламав систему прослуховування розмов, якою користувався уряд США
HIBP – це сервіс сповіщення про витоки даних під назвою "Have I Been Pwned". Там кожен може перевірити, чи були його дані злиті в мережу, викрадені на тому чи іншому сайті чи продаються на хакерських форумах. Зазвичай кіберзлочинці самі діляться з сайтом викраденими даними, щоб сповістити про свої "подвиги".
Творець HIBP Трой Хант розповів виданню BleepingComputer, що ще 30 вересня зловмисник поділився базою даних аутентифікації Інтернет-архіву, яка являє собою SQL-файл розміром 6,4 гігабайта. База даних містить аутентифікаційну інформацію зареєстрованих користувачів, включаючи їхні адреси електронної пошти, імена екранів, часові мітки зміни паролів, паролі, хешовані за допомогою Bcrypt, та інші внутрішні дані.
Хант каже, що в базі даних 31 мільйон унікальних електронних адрес, багато з яких підписані на службу сповіщення про витік даних HIBP. Незабаром ці дані будуть додані до сервісу, що дозволить користувачам дізнатися, що їхні дані були викриті в результаті цього витоку.
Дані також були окремо підтверджені після того, як Хант зв'язався з деякими користувачами, перерахованими в базах даних, у тому числі з дослідником кібербезпеки Скоттом Хелмом. Хелм підтвердив, що дані, отримані сайтом HIBP, збігаються з тим, що він особисто вводив на сайті. Він також підтвердив, що мітка часу в записі бази даних збігається з датою, коли він востаннє змінював пароль у своєму менеджері паролів. Таким чином можна стверджувати, що витік є справжнім і ресурс Wayback Machine дійсно був зламаний.
Що стосується DDoS-атак, то вони тривають уже деякий час. Перші проблеми почалися 8 жовтня. Цю першу атаку було успішно відбито, але все продовжилося наступного дня. Те саме сталося й 10 жовтня. Сайт Wayback Machine наразі все ще не працює, тож можна зробити висновок, що або зараз триває чергова така атака, або адміністратори архіву власноруч відключили його від мережі. Брюстер Кале, засновник Internet Archive, написав, що архів "проявляє обережність і ставить на перше місце безпеку даних коштом доступності сервісу".
Хто за цим стоїть
Відомо, що за DDoS-атаку відповідальна хактивістська група BlackMeta. Вона обіцяє здійснювати додаткові атаки згодом. Але чи відповідальна вона за злом і викрадення даних, невідомо.
Трой Хант каже, що час обох атак виглядає "цілком випадковим", і що ймовірно, тут залучені "кілька сторін".
Зрозуміло, що це не одна атака,
– написав Хант.
BlackMeta позиціонує себе як пропалестинська хакерська група, а на її сторінці в соцмережі X вказано, що вона походить з міста Стара Руса у Новгородській області Росії. Хакери заявили, що однією з причин атаки є те, що інтернет-архів нібито належить "належить США, які підтримують Ізраїль", але Wayback Machine – це некомерційна організація, яка збирає всі ресурси, в тому числі й про Палестину, Ізраїль та інші країни. Той факт, що там збережені певні сторінки, не означає підтримку одних чи засудження інших сторін. Це загальний архів для всіх сторінок.
На сторінці російських злочинців у твітері з'явилося відео російською мовою, в якому вони заявляють, що з самого початку війни в Газі зайняли позицію і заявили про себе, як про "голоси свободи", "голоси пригнічених" і "армію для тих, хто потребує". Промова супроводжується кадрами ізраїльських військових, які розганяють палестинські протести або іншим чином взаємодіють з палестинцями. При цьому кадри різанини, яку терористи влаштували в Ізраїлі у жовтні 2023 року, чомусь вставити "забули". Хай там як, але вони також заявляють, що стояли за подібною шестиденною атакою в травні, яка розлетілася по всіх новинах і отримала широке обговорення в соцмережах, а також запевняють, що вони "не підлітки, які ховаються за екранами комп'ютерів".
BlackMeta запустила свій Telegram-канал 23 листопада і взяла на себе відповідальність за низку інших атак, включаючи шестиденну DDoS-атаку на арабські фінансові установи та різні атаки на ізраїльські технологічні компанії навесні, пише Gizmodo.
Хакерська група не брала на себе відповідальність за злам і викрадення даних, а лише за DDoS-атаку. Тож, імовірно, історія ще не завершена, і ми дізнаємось про її продовження найближчим часом.