
インターネットアーカイブの「ウェイバック マシン」は、脅威アクターが Web サイトに不正アクセスし、3,100 万件のレコードを含むユーザー認証データベースを窃取された可能性があります。セキュリティ研究者によるとこれは本物のデータの可能性が高いです
目次
ハッキングの概要
「インターネット アーカイブが不安定で、常に壊滅的なセキュリティ侵害に見舞われそうになっていると感じたことはありませんか? それが今起こったのです。HIBP で 3,100 万人の皆さんにお会いしましょう!」と
archive.org サイトに表示される JavaScript アラートへ書かれています。
画像引用:X
現在のところ攻撃者は不明
現在のところ攻撃者は不明です。
BlackMetaがインターネット アーカイブへDDoS攻撃
関連は不明ですが、 インターネット アーカイブへDDoS攻撃を受けており10月9日に
ハクティビスト系の脅威グループBlackMeta によって犯行声明が出され、同グループは追加攻撃を仕掛ける予定であると発表しました。
HIBPとは
「HIBP」というテキストは、 Troy Hunt氏によって作成されたHave I Been Pwned データ侵害通知サービスを指し、脅威アクターは、盗んだデータをこのサービスと頻繁に共有しています。
6.4 GB の SQL ファイルが漏えい 窃取されたデータは本物可能性
BleepingComputer の取材に対し、脅威アクターが 9月28日頃にインターネット アーカイブの認証データベースを共有したと語り、それは「ia_users.sql」という 6.4 GB の SQL ファイルであると述べました。
データベースには、電子メール アドレス、スクリーン ネーム、パスワード変更のタイムスタンプ、Bcrypt ハッシュ パスワード、その他の内部データなど、登録メンバーの認証情報が含まれています。
同氏によると、データベースには 3,100 万の固有の電子メール アドレスがあり、その多くが HIBP データ侵害通知サービスに登録され、ユーザーは自分の電子メール アドレスを入力して、今回の侵害で自分のデータが漏洩したかどうかを確認できるようになっています。
サイバーセキュリティ研究者のスコット・ヘルメ氏はデータ レコード内の bcrypt ハッシュ パスワードが、パスワード マネージャーに保存されている brcrypt ハッシュ パスワードと一致していることを確認しました。
9887370, internetarchive@scotthelme.co.uk,$2a$10$Bho2e2ptPnFRJyJKIn5BiehIDiEwhjfMZFVRM9fRCarKXkemA3PxuScottHelme,2020-06-25,2020-06-25,internetarchive@scotthelme.co.uk,2020-06-25 13:22:52.7608520,\N0\N\N@scotthelme\N\N\N
また、データベース レコード内のタイムスタンプが、パスワード マネージャーで最後にパスワードを変更した日付と一致していることも確認しました。
インターネットアーカイブが復旧作業中に再度ハッキングされる
復旧作業中に脅威アクターが公開された GitLab 認証トークンを盗んだという声明を発表し、さらにZendesk の電子メール サポート プラットフォームで犯行声明を発表しました。