El Archivo de Internet ha sido pirateado. La filtración de datos ha provocado el robo de credenciales de 31 millones de usuarios.
Es bueno saberlo:Internet Archive es una organización sin fines de lucro cuyo objetivo es preservar contenido que de otro modo se perdería para siempre. Google comenzó a agregar enlaces al archivo en la Búsqueda de Google.
Hackean Wayback Machine de Internet Archive y roban datos de usuario
Usuarios que visitaronLa máquina de Waybackayer fueron recibidos por un mensaje en el sitio web que decía lo siguiente: "¿Alguna vez han sentido que Internet Archive funciona con dispositivos y está constantemente a punto de sufrir una violación de seguridad catastrófica? Simplemente sucedió. ¡Veo a 31 millones de ustedes en HIBP!
(Crédito de la imagen: BleepingComputer)
Lectura sugerida:La Búsqueda de Google agrega enlaces a páginas web archivadas desde Wayback Machine de Internet Archive
Para aquellos que no lo saben, HIBP se refiere al popular sitio web Have I Been Pawned.pitidocomputadorainforma que Troy Hunt, quien creó HIBP, le dijo al blog que los atacantes habían compartido la base de datos de autenticación robada con el servicio de notificación de violaciones hace 9 días.
Hunt notificó a Internet Archive hace 3 días, pero la organización sin fines de lucro con sede en San Francisco no le respondió. puedes visitarhttps://haveibeenpwned.com/para comprobar si su dirección de correo electrónico ha sido filtrada por la violación de datos de Internet Archive.
Los datos que se han visto comprometidos incluyen direcciones de correo electrónico, nombres de usuario, marcas de tiempo de cambio de contraseña, etc. Pero no entraría en pánico todavía, me refiero a restablecer su contraseña si así lo desea. Pero parece que las contraseñas no fueron robadas, porque el informe solo menciona que las contraseñas con hash de Bcrypt (contraseñas unidireccionales con sal) fueron comprometidas, lo que luego fue confirmado por el investigador de ciberseguridad Scott Helme.
Aún así, los registros robados suman 31 millones de direcciones de correo electrónico únicas, por lo que es un poco molesto. En realidad, este es el momento perfecto para ilustrar la importancia de utilizar servicios de alias de correo electrónico como Simple Login, Firefox Relay, DuckDuckGo's Email Protection, etc. Estos servicios, muchos de los cuales son gratuitos (con niveles premium opcionales), ocultan su dirección de correo electrónico real y le brindan un alias, lo que lo hace anónimo frente al spam o los hackeos. Cualquier correo electrónico que se envíe al alias se envía a la bandeja de entrada de su correo electrónico real, sin que el remitente sepa nada al respecto.
No está claro cómo los atacantes violaron Internet Archive. La web sufrió un ataque DDoS por parte del grupo hacktivista BlackMeta, que alardeaba de haber estado haciéndolo durante más de 5 horas, y que seguiría realizando los ataques. Por si sirve de algo, el sitio web parece estar bien ahora.
Como nota al margen, Internet Archive perdió su batalla legal contra Hachette, cuando el Tribunal de Apelaciones del Segundo Circuito de Estados Unidos dictaminó que el archivo digital violaba la ley de derechos de autor. Internet Archive había apelado que su biblioteca de préstamo se adhiriera a la doctrina de uso legítimo que permite la infracción de derechos de autor en ciertos escenarios. El tribunal rechazó el argumento. (a través decableado)
Aquí hay un poco de contexto: la Biblioteca Nacional de Emergencia de Internet Archive ayudó a muchas personas, incluidos estudiantes, durante la pandemia de COVID-19, cuando no podían acceder a los libros. Podrían utilizar la Biblioteca Abierta para acceder a versiones escaneadas de libros físicos. Sin embargo, esto generó preocupación entre los editores, quienes lo criticaron como piratería de material protegido por derechos de autor y pronto presentaron una demanda contra Internet Archive. Como era de esperar, Internet Archive perdió el caso, pero el tribunal sí lo reconoció como una operación sin fines de lucro.
Por eso esta filtración de datos no tiene sentido para mí. ¿Recuerdas cuando una banda de ransomware atacó un hospital? Internet Archive es una organización sin fines de lucro, es esencialmente un servicio público. ¿Qué punto están tratando de demostrar los piratas informáticos? Si encontraron que la seguridad del sitio era terrible, ¿por qué no simplemente alertarlos o ayudarlos a solucionar los problemas? Por supuesto, está el hecho de que se tomaron datos del usuario, que potencialmente podrían usarse para realizar comprobaciones cruzadas y violar otros servicios. Pero aún así, es un ataque inusual porque los objetivos habituales son las empresas.