Violación de seguridad en “The Wayback Machine”
El Internet Archive, conocido por su popular herramienta “The Wayback Machine”, ha sufrido una violación de seguridad después de que un actor malicioso comprometiera su sitio web y robara una base de datos de autenticación de usuarios que contiene 31 millones de registros únicos.
La noticia del incidente comenzó a circular el miércoles por la tarde, cuando los visitantes de archive.org vieron una alerta de JavaScript creada por el atacante, que confirmaba la violación.
Mensaje de advertencia en el sitio comprometido
El mensaje de alerta indicaba: “¿Alguna vez has sentido que el Internet Archive funciona con palitos y está al borde de sufrir una violación de seguridad catastrófica? Pues acaba de suceder. ¡Nos vemos a 31 millones de ustedes en HIBP!” La referencia a HIBP se refiere al servicio de notificación de violaciones de datos Have I Been Pwned, donde los actores maliciosos suelen compartir datos robados.
Detalles de la base de datos robada
El creador de HIBP, Troy Hunt, confirmó que el atacante compartió la base de datos de autenticación del Internet Archive hace nueve días. Esta base de datos, un archivo SQL de 6.4 GB llamado “ia_users.sql”, contiene información de los usuarios registrados, incluyendo direcciones de correo electrónico, nombres de usuario, fechas de cambio de contraseña, contraseñas cifradas con Bcrypt y otros datos internos.
El registro más reciente en la base de datos robada es del 28 de septiembre de 2024, lo que sugiere que la violación ocurrió en esa fecha. Hunt también confirmó que la base de datos será añadida a HIBP, lo que permitirá a los usuarios verificar si su información fue expuesta.
Confirmación del incidente por parte de usuarios afectados
El investigador de ciberseguridad Scott Helme verificó que sus datos estaban entre los registros expuestos y corroboró que la contraseña cifrada coincidía con la de su gestor de contraseñas.
Ataques DDoS y respuesta del Internet Archive
Además de la violación de datos, el Internet Archive sufrió un ataque de denegación de servicio (DDoS) más temprano ese mismo día, que fue reivindicado por el grupo hacktivista BlackMeta. El grupo también ha anunciado que continuarán con más ataques.
El fundador del Internet Archive, Brewster Kahle, confirmó la violación de seguridad y los ataques en una actualización en X (anteriormente Twitter). Explicó que el atacante utilizó una biblioteca de JavaScript para mostrar las alertas a los visitantes del sitio. También señaló que el equipo ha desactivado la biblioteca comprometida, está limpiando los sistemas y mejorando la seguridad.
Desafíos adicionales y medidas tomadas
A pesar de que el Internet Archive enfrenta tanto una violación de datos como ataques DDoS simultáneos, no se cree que ambos estén conectados. En una actualización adicional, Kahle indicó que los ataques DDoS han continuado, lo que provocó que archive.org y openlibrary.org estuvieran temporalmente fuera de línea nuevamente.
