«Архив интернета» недоступен из-за хакерской атаки. Утекли данные 31 миллиона пользователей

Сайт The Wayback Machine - архив интернет-страниц и одна из крупнейших в мире интернет-библиотек - был взломан, а также подвергся DDOS-атаке, из-за которой оказался частично недоступен 9 и 10 октября. Хакеры разместили на главной странице библиотеки уведомление о том, что сайт взломан и пароли 31 миллиона пользователей украдены.

Как сообщает портал BleepingComputer, в результате атаки действительно оказались скомпрометированы аккаунты 31 миллиона пользователей. Информацию порталу подтвердил создатель сервиса Have I Been Pwned (примерный перевод названия портала - «Меня взломали?», на нем пользователи могут проверить, находятся ли их данные в утечках информации). Ответственность за DDOS-атаку взяла на себя группировка sn_blackmeta, которая якобы взломала главный архив интернета в знак протеста против США и Израиля. Также хакеры атаковали портал проекта Open Library («Открытая библиотека») - архив информации о большой части книг, которые были изданы в мире с конца 19 века по сей день. По состоянию на вечер 10 октября сайты The Wayback Machine и Open Library остаются недоступными.

Как рассказал основатель Internet Archive Брюстер Кейл, атаки на портал начались 8 октября и после перерыва продолжились 9 октября, а затем 10 октября. Указанное им время совпадает с временем, когда проводила атаки группировка sn_blackmeta - она разместила информацию об этом и скриншоты программного обеспечения, которое используется в DDOS-атаках, у себя в Telegram-канале. Брюстер Кейл отметил, что 10 октября также был атакован проект Open Library - его также создал Кейл вместе с другими интернет-активистами, а поддержку проекта осуществляет Internet Archive. 

«Что известно: DDOS-атака по состоянию на сейчас отражена; дефейс нашего сайта произошел с помощью JS-библиотеки; произошла утечка юзернеймов/емейлов/паролей <в зашифрованном виде>. Что мы сделали: выключили JS-библиотеку, почистили системы, улучшаем безопасность,» - написал Брюстер Кейл утром 10 октября. Через несколько часов он добавил, что атака началась снова, и на этот раз был атакован также сайт «Открытой библиотеки», и пока оба сайта временно отключены.

В сообщении, размещенном хакерами на сайте The Wayback Machine говорилось о том, что оказались скомпрометированы данные 31 миллиона пользователей. «У вас было когда-то ощущение, что архив интернета <работает «на костылях»>, и вот-вот произойдет катастрофический взлом? Вот это и случилось. Ищите 31 миллион из вас на <Have I Been Pwned>», - говорилось в сообщении. Оно очевидно написано не носителями английского языка, так как выражение «runs on sticks», которое использовали авторы, чтобы, по всей видимости, передать идею того, что библиотека работает «на костылях» - то есть с помощью временных и ненадежных решений, которые часто становятся уязвимостью перед хакерами - не существует в английском языке.

Пользователи Twitter спросили, зачем группировка sn_blackmeta атакует интернет-библиотеки - нейтральные ресурсы, которые не являются ни финансово привлекательными, ни поддерживающими какие-либо политические стороны. Аккаунт группировки ответил, что атака на The Wayback Machine происходит «потому, что архив принадлежит США, а как все мы знаем, ужасное и лицемерное правительство <этой страны> поддерживает геноцид, который совершает террористическое государство «Израиль»». Пользователи Twitter разместили под каждым постом группировки опровержение этой информации. В действительности, Internet Archive является некоммерческой организацией, зарегистрированной в США. Большую часть ее бюджета составляют пожертвования пользователей со всего мира, а также доходы от услуг автоматического сбора информации в интернете (кроулинга). В заметках сообщества также отмечено, что Internet Archive содержит большое количество материалов о Палестине, которые из-за атаки, якобы направленной на поддержку Палестины, оказались недоступны.

Создатель сайта Have I Been Pwned Трой Хант рассказал, что хакеры передали ему базу данных пользователей The Wayback Machine 30 сентября. Трой верифицировал данные из базы, и они оказались реальными. В ней содержится информация тех пользователей, которые были зарегистрированы - почта, юзернейм, пароли в зашифрованном виде, даты изменения паролей и другие данные. Самая ранняя запись в базе относится к 28 сентября 2024 года - предположительно, тогда база и была украдена.

Специалист по кибербезопасности Скотт Хельм разрешил порталу BleepingComputer опубликовать фрагмент из утечки, относящийся к его аккаунту. В нем видно, что в утечке есть хэшированный пароль, который совпал с хэшем, который Хельм хранил в своем хранилище паролей.

Большая часть пользователей портала не регистрируются - регистрация не нужна ни для того, чтобы просматривать архивные страницы, ни для того, чтобы их сохранять. Она нужна для использования библиотеки книг - в ней электронные копии можно взять на время так же, как в физической библиотеке, и потом вернуть, а также для создания коллекция архивных страниц. Последней функцией пользуются в частности, журналисты и правозащитники, чтобы зафиксировать состояние некоторых интернет страниц на определенный момент в качестве доказательства, что какая-то информация на них была опубликована.

Трой Хант считает, что два факта - DDOS-атака и утечка данных пользователей - не связаны между собой, а лишь частично совпали по времени. В частности, он предполагает это в связи с тем, что хакеры, укравшие данные пользователей, вышли с ним на контакт за неделю до начала DDOS-атаки. При этом сам Хант осознал масштаб утечки только через несколько дней после того, как ему были переданы данные.

Директор компании Nexusguard, которая специализируется на защите от DDOS-атак, Донни Чонг в интервью Forbes отметил, что нет свидетельств того, что DDOS-атака, организованная sn_blackmeta, связана с утечкой данных пользователей.

The Wayback Machine уже сталкивался с масштабной DDOS-атакой в мае этого года, и ответственность за нее на себя тогда взяла та же группировка sn_blackmeta. Тогда, по уверению библиотеки, данные пользователей не пострадали, однако некоторое время ресурс был недоступен.

Кто именно стоит за sn_blackmeta неизвестно. Летом 2024 года группировка брала на себя ответственность за атаки на банки и финансовые организации на Ближнем Востоке - в первую очередь в Израиле и в ОАЭ. В канале группировки в Telegram тогда было опубликовано большое количество сообщений о том, что якобы эмиратское правительство и банки поддерживают Израиль, однако сейчас эти сообщения удалены. Также короткое время были атакованы сайты минобороны Саудовской Аравии и аэропорта Бен Гурион.