Что произошло
Уже несколько дней пользователи сталкиваются со всплывающим окном при посещении сайта The Wayback Machine. В нем говорится: "Вы когда-нибудь чувствовали, что Интернет-архив работает на соломинках и постоянно находится на грани катастрофического нарушения безопасности? Это только что произошло. Ищите 31 миллион ваших аккаунтов на HIBP". Это сообщение оставили хакеры, которые взломали сайт, похитив целую кучу данных пользователей, пишет The Verge. Но параллельно с этим сервис подвергся нескольким мощным DDoS-атакам.
Смотрите также Потенциальная катастрофа: Китай взломал систему прослушивания разговоров, которой пользовалось правительство США
HIBP – это сервис оповещения об утечках данных под названием "Have I Been Pwned". Там каждый может проверить, были ли его данные слиты в сеть, похищены на том или ином сайте или продаются на хакерских форумах. Обычно киберпреступники сами делятся с сайтом похищенными данными, чтобы известить о своих "подвигах".
Создатель HIBP Трой Хант рассказал изданию BleepingComputer, что еще 30 сентября злоумышленник поделился базой данных аутентификации Интернет-архива, которая представляет собой SQL-файл размером 6,4 гигабайта. База данных содержит аутентификационную информацию зарегистрированных пользователей, включая их адреса электронной почты, имена экранов, временные метки смены паролей, пароли, хешированные с помощью Bcrypt, и другие внутренние данные.
Хант говорит, что в базе данных 31 миллион уникальных электронных адресов, многие из которых подписаны на службу оповещения об утечке данных HIBP. Вскоре эти данные будут добавлены к сервису, что позволит пользователям узнать, что их данные были разоблачены в результате этой утечки.
Данные также были отдельно подтверждены после того, как Хант связался с некоторыми пользователями, перечисленными в базах данных, в том числе с исследователем кибербезопасности Скоттом Хелмом. Хелм подтвердил, что данные, полученные сайтом HIBP, совпадают с тем, что он лично вводил на сайте. Он также подтвердил, что метка времени в записи базы данных совпадает с датой, когда он в последний раз менял пароль в своем менеджере паролей. Таким образом можно утверждать, что утечка является настоящей и ресурс Wayback Machine действительно был взломан.
Что касается DDoS-атак, то они продолжаются уже некоторое время. Первые проблемы начались 8 октября. Эту первую атаку было успешно отбито, но все продолжилось на следующий день. То же самое произошло и 10 октября. Сайт Wayback Machine пока все еще не работает, поэтому можно сделать вывод, что или сейчас идет очередная такая атака, или администраторы архива собственноручно отключили его от сети. Брюстер Кале, основатель Internet Archive, написал, что архив "проявляет осторожность и ставит на первое место безопасность данных за счет доступности сервиса".
Кто за этим стоит
Известно, что за DDoS-атаку ответственна хактивистская группа BlackMeta. Она обещает осуществлять дополнительные атаки впоследствии. Но ответственна ли она за взлом и похищение данных, неизвестно.
Трой Хант говорит, что время обеих атак выглядит "вполне случайным", и что вероятно, здесь вовлечены "несколько сторон".
Понятно, что это не одна атака,
– написал Хант.
BlackMeta позиционирует себя как пропалестинская хакерская группа, а на ее странице в соцсети X указано, что она происходит из города Старая Русса в Новгородской области России. Хакеры заявили, что одной из причин атаки является то, что интернет-архив якобы принадлежит "принадлежит США, которые поддерживают Израиль", но Wayback Machine – это некоммерческая организация, которая собирает все ресурсы, в том числе и о Палестине, Израиль и другие страны. Тот факт, что там сохранены определенные страницы, не означает поддержку одних или осуждение других сторон. Это общий архив для всех страниц.
На странице российских преступников в твиттере появилось видео на русском языке, в котором они заявляют, что с самого начала войны в Газе заняли позицию и заявили о себе, как о "голосах свободы", "голоса угнетенных" и "армию для тех, кто нуждается". Речь сопровождается кадрами израильских военных, которые разгоняют палестинские протесты или иным образом взаимодействуют с палестинцами. При этом кадры резни, которую террористы устроили в Израиле в октябре 2023 года, почему-то вставить "забыли". Как бы там ни было, но они также заявляют, что стояли за подобной шестидневной атакой в мае, которая разлетелась по всем новостям и получила широкое обсуждение в соцсетях, а также уверяют, что они "не подростки, которые прячутся за экранами компьютеров".
BlackMeta запустила свой Telegram-канал 23 ноября и взяла на себя ответственность за ряд других атак, включая шестидневную DDoS-атаку на арабские финансовые учреждения и различные атаки на израильские технологические компании весной, пишет Gizmodo.
Хакерская группа не брала на себя ответственность за взлом и похищение данных, а только за DDoS-атаку. Поэтому, вероятно, история еще не завершена, и мы узнаем о ее продолжении в ближайшее время.