- มีการเผยคำเตือนว่าข้อมูลบัญชี 31 ล้านรายการถูกเปิดเผย หลังผู้เยี่ยมชม Internet Archive พบป๊อปอัปที่ถูกแก้ไขบนเว็บไซต์ และยังถูกโจมตีแบบ DDoS ต่อเนื่อง
- ผู้ก่อตั้ง Brewster Kahle ยืนยันการละเมิดหลังเวลา 9PM ET ไม่นาน และระบุว่าการแจ้งเตือนถูกแทรกเข้ามาในเว็บไซต์ผ่าน JavaScript library
- Troy Hunt ผู้ดูแล Have I Been Pwned เปิดเผยว่าไฟล์ที่ได้รับเมื่อ 9 วันก่อนมีอีเมลที่ไม่ซ้ำกัน 31 ล้านรายการ และได้ตรวจสอบความถูกต้องโดยเทียบกับข้อมูลบัญชีผู้ใช้
- ไฟล์ที่รั่วไหลมีอีเมล ชื่อที่แสดง เวลาแก้ไขรหัสผ่าน รหัสผ่านที่แฮชด้วย Bcrypt และข้อมูลภายในอื่น ๆ โดย 54% ของบัญชีมีอยู่ใน HIBP อยู่ก่อนแล้วจากเหตุรั่วไหลครั้งก่อน
- หลังปิดป๊อปอัป เว็บไซต์ยังโหลดได้แต่ช้าลง อย่างไรก็ตาม ณ เวลา 5:30PM ET ป๊อปอัปหายไปแล้ว แต่เว็บไซต์แสดงหน้าเปล่าหรือมีเพียงข้อความแจ้งออฟไลน์ชั่วคราว
การแก้ไขหน้าเว็บไซต์และการยืนยันการละเมิด
- เมื่อเข้า Internet Archive ในช่วงบ่ายวันพุธ ผู้เยี่ยมชมจะเห็นข้อความป๊อปอัปแจ้งว่าเว็บไซต์ถูกแฮ็ก
- ในป๊อปอัปมีข้อความว่า Internet Archive “เคยรู้สึกไหมว่ามันเหมือนกำลังหมุนวนอยู่กับที่ด้วยไม้เท้า และเหมือนอยู่ก่อน catastrophic security breach เพียงนิดเดียว” พร้อมข้อความ “31 million of you on HIBP”
- หลัง 9PM ET ไม่นาน ผู้ก่อตั้ง Internet Archive Brewster Kahle ยืนยันการละเมิด และระบุว่าเว็บไซต์ถูกแก้ไขให้แสดงการแจ้งเตือนดังกล่าวผ่าน JavaScript library
ข้อมูลบัญชีที่ส่งให้ HIBP
- HIBP ย่อมาจาก Have I Been Pwned ซึ่งเป็นบริการให้ผู้ใช้ตรวจสอบได้ว่าข้อมูลของตนรวมอยู่ในข้อมูลที่รั่วจากการโจมตีทางไซเบอร์หรือไม่
- Troy Hunt ผู้ดูแล HIBP ยืนยันกับ BleepingComputer ว่าเขาได้รับไฟล์เมื่อ 9 วันก่อน ซึ่งมีอีเมลที่ไม่ซ้ำกัน 31 ล้านรายการ
- ไฟล์ดังกล่าวมีข้อมูลต่อไปนี้
- ที่อยู่อีเมล
- ชื่อที่แสดง
- เวลาประทับการเปลี่ยนรหัสผ่าน
-
รหัสผ่านที่แฮชด้วย Bcrypt
- ข้อมูลภายในอื่น ๆ
- Hunt ตรวจสอบความถูกต้องของข้อมูลโดยเทียบกับบัญชีผู้ใช้
ช่วงเวลาที่กระบวนการเปิดเผยข้อมูลทับซ้อนกับ DDoS
- ตามโพสต์ของ HIBP บัญชีที่รั่วไหล 54% มีอยู่ในฐานข้อมูล HIBP อยู่ก่อนแล้วจากเหตุละเมิดครั้งก่อน
- Troy Hunt ยังแชร์กำหนดการเปิดเผยข้อมูลผ่านบัญชีของเขา
- วันที่ 6 ตุลาคม ได้แจ้ง Internet Archive ถึงเหตุละเมิด
- ดำเนินกระบวนการเปิดเผยข้อมูล
- ระหว่างเตรียมโหลดข้อมูลเข้า HIBP เพื่อแจ้งผู้ใช้ที่ได้รับผลกระทบ ก็เกิดการแก้ไขเว็บไซต์และ DDoS พร้อมกัน
การเปลี่ยนแปลงของสถานะการเข้าถึงเว็บไซต์
- หลังปิดป๊อปอัป เว็บไซต์ยังโหลดได้ตามปกติ แต่ทำงานช้า
- ณ เวลา 5:30PM ET ป๊อปอัปหายไป แต่ตัวเว็บไซต์ก็หายไปด้วยเช่นกัน
- ผู้เยี่ยมชมจะไม่เห็นอะไรเลย หรือเห็นเพียงข้อความชั่วคราวว่า “Internet Archive services are temporarily offline” พร้อมลิงก์ไปยังบัญชีของ Internet Archive
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
จากมุมมองด้านความเป็นส่วนตัว สิ่งสำคัญอีกอย่างคือ ผู้ที่เคยอัปโหลดอะไรบางอย่างไปยัง IA นั้นมี ที่อยู่อีเมลถูกเปิดเผยในเมทาดาทาสาธารณะ อยู่แล้ว
แม้จะไม่ใช่ข้อเท็จจริงที่คนรู้กันทั่วไป แต่เมทาดาทาของการอัปโหลดทั้งหมดที่ดูได้แบบสาธารณะจะมีอีเมลบัญชี IA ของผู้อัปโหลดอยู่
เรื่องนี้แย่ในมุมความปลอดภัยด้วย และผู้ใช้จำนวนมากที่เคยอัปโหลดก็น่าจะไม่รู้รายละเอียดนี้
ก่อนที่ตัวกรองสแปมจะดีขึ้น การทำให้ที่อยู่อีเมลอ่านยากเล็กน้อยเพื่อกันการเก็บรวบรวมที่อยู่เป็นเรื่องปกติ แต่ดูเหมือนว่ายุคนั้นจะผ่านไปแล้ว และนี่ก็เป็นประเด็นคนละเรื่องกับความเป็นส่วนตัว
หากใครอัปโหลดแล้วไม่อยากถูกติดตามอย่างเด็ดขาด ก็ต้องใช้อีเมลแบบใช้แล้วทิ้งอยู่ดี
หากให้ที่อยู่ “ส่วนตัว” แก่ผู้ดูแลบริการโดยไม่ได้ห้ามอย่างชัดเจนไม่ให้เปิดเผยต่อ ก็อาจมองได้คล้ายกับการไม่ได้ขอไม่ให้ Alice นำเรื่องที่บอกไปเล่าให้ Bob ฟัง
ไม่เพียง XML ของการอัปโหลดเท่านั้น โปรไฟล์ก็มีที่อยู่อีเมลอยู่ด้วย และใครก็ตามสามารถเข้าถึงได้เพียงเปลี่ยน URL จาก https://archive.org/details/@foobar เป็น https://archive.org/download/foobar
กล่าวคือ ไม่ว่าจะอัปโหลดหรือไม่ แค่มีบัญชีที่ลงทะเบียนไว้ก็อาจถูกเปิดเผยได้
https://help.archive.org/help/accounts-a-basic-guide-2/
ในทางทฤษฎี ใครสักคนสามารถสแครปหน้าเว็บแล้วสร้างรายชื่ออีเมลที่ถูกเปิดเผยได้
ผมเคยดาวน์โหลดเว็บไซต์ของเพื่อนเก่าจาก Internet Archive แล้วนำกลับขึ้นมาใหม่
เขาเสียชีวิตไปแล้ว แต่ผมดีใจที่สามารถฟื้นเว็บไซต์นั้นขึ้นมาได้
คงน่าเสียดายถ้า IA หายไปถาวร แต่ไม่ว่าจะอย่างไร เราจำเป็นต้องมี โซลูชันแบบกระจายศูนย์
โครงสร้างที่ให้องค์กรยักษ์ใหญ่เพียงแห่งเดียวดูแลมรดกร่วมของพวกเราไม่ใช่ความคิดที่ดี
คล้ายกับทอร์เรนต์มาก แต่เป็นแนวทางที่มีเพียร์และชิ้นส่วนข้อมูลมากกว่า seed ที่มีสำเนาทั้งชุด
อาจเป็นการดูแลฐานข้อมูลขนาดใหญ่สำหรับทุกคน แน่นอนว่าควรเป็นโอเพนซอร์ส และช่วยเครือข่ายด้วยแพตช์ความปลอดภัยเหมือน Tor แต่ไม่มี “การควบคุมแบบแดชบอร์ดผู้ดูแล” จริง ๆ เหนือทั้งเครือข่าย
ตอนนี้เราก็ทำสิ่งคล้ายกันในสเกลเล็กกว่าสำหรับการแคชไฟล์สแตติกของเว็บไซต์อยู่แล้ว แต่ยังเล็กกว่ามาก
ความท้าทายด้านความปลอดภัยคงใหญ่มาก แต่อาจไม่ถึงขั้นเป็นไปไม่ได้ที่จะเอาชนะ IPFS ใกล้เคียงอยู่ แต่ก็ยังค่อนข้างเน้น seed
ถ้ามีใครรู้จักอะไรที่คล้าย ๆ แบบนี้ อยากฟังเหมือนกัน
ถ้า cryptocurrency ยังไม่ถูกทำให้กลายเป็นปีศาจไปแล้ว แรงจูงใจแบบ cryptocurrency ที่อิงกับการ seed อาจเป็นเรื่องยอดเยี่ยมก็ได้
ไม่มีใครอยากจ่ายเงินและแบนด์วิดท์เพื่อโฮสต์หนังหรือหนังสือที่มีคนเพียงไม่กี่คนสนใจ
มีทิปอะไรสำหรับดาวน์โหลดเว็บไซต์ที่ใช้งานได้ครบถ้วนจาก IA ไหม นอกเหนือจากการใช้ wget หรือ curl?
มีข้อมูลเพิ่มเติมเกี่ยวกับการละเมิดข้อมูลอยู่ที่นี่ ฐานข้อมูลที่ถูกขโมยมี 31 ล้านเรคคอร์ด
https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/
เมื่อกี้ดูแล้ว เว็บไซต์แสดงคำเตือนแบบนี้:
“เคยรู้สึกไหมว่า Internet Archive กำลังเดินเครื่องด้วยไม้ค้ำยัน และดูเหมือนจะเกิดเหตุละเมิดความปลอดภัยครั้งใหญ่ได้ทุกเมื่อ? มันเพิ่งเกิดขึ้นแล้ว เจอกันใน HIBP นะ พวกคุณ 31 ล้านคน!”
ข้อความผิดพลาดที่พยายามทำให้เป็นกันเองหรือมีอารมณ์ขัน บางครั้งก็แยกแยะได้ยาก
ดูเหมือนว่ามีใครบางคนเจาะ ซับโดเมนสำหรับ Polyfill ไปได้
อัปเดต: ตอนนี้ซับโดเมนดูเหมือนจะกลับมาตอบสนองปกติแล้ว
นี่เป็นช่วงเวลาที่ทำให้หวังว่าคำสาปจะได้ผลจริงกับคนที่เล่นตลกแบบนี้
“ขอให้ท่านและลูกหลานของท่านถูกหมัด 10,000 ตัวกัดเป็นเวลา 10,000 คืน เพื่อชดใช้กรรมชั่วที่ทำไว้”
ตอนนี้อาจไม่ใช่เวลาที่เหมาะจะพูดเรื่องนี้ แต่การไล่ดูคอลเลกชันที่มีรายการต่าง ๆ แล้วดึง อีเมลทั้งหมด พร้อมชื่อผู้ใช้ออกมานั้นง่ายอย่างน่าตกใจ
https://archive.org/metadata/naturally_a_girl/metadata
คนที่กวาดอีเมลที่ผูกกับชื่อผู้ใช้ไปเป็นจำนวนมากไม่ทางใดก็ทางหนึ่ง สุดท้ายก็คงต้องมีอยู่แล้ว
แอบสงสัยนิดหน่อยว่าแฮ็กเกอร์เจาะฐานข้อมูลและเอารหัสผ่านไปได้อย่างไร
พูดตรง ๆ ดูเหมือนเป็น ข้อบกพร่องในการออกแบบ
https://github.com/internetarchive/iaux/issues/892
ทำไมต้องเล็ง Internet Archive ด้วย ไปเล็งอย่างอื่นสิ อย่ามายุ่งกับคลังเก็บบันทึกบ้า ๆ นี่เลย
กระทู้นี้น่าจะเป็นหนึ่งในที่แรก ๆ ที่บันทึกเหตุการณ์นี้ไว้ เหมือนจะขึ้นอยู่บนสุดของ Google
มีบัญชีที่เพิ่งสร้างใหม่เพราะเรื่องนี้แล้วสองบัญชี
ใช้บัญชี IA ด้วยที่อยู่ Gmail มาหลายปี แล้วเมื่อ 9 เดือนก่อนเปลี่ยนอีเมลเป็นที่อยู่แบบมาสก์ที่สร้างจากโดเมนของตัวเอง
แต่ตอนนี้มาดูแล้วพบว่า ที่อยู่ Gmail ของฉันยังถูกเก็บไว้ และรวมอยู่ในการรั่วไหลด้วย ทำไมถึงเป็นแบบนั้น?
เข้าใจได้ว่าอาจเก็บประวัติการเปลี่ยนแปลงไว้ แต่ทำไมต้องเก็บมันไว้ด้วย?
ข้อมูลบัญชีปัจจุบันคือเปลี่ยนรหัสผ่านเป็นสตริงสุ่มอื่นที่ตัวจัดการรหัสผ่านสร้างให้แล้ว และลบที่อยู่อีเมลแบบมาสก์ก่อนสร้างใหม่
ต่อไปเรื่องแบบนี้คงไม่เป็นปัญหาใหญ่สำหรับฉันแล้ว
สิ่งแรกที่ตรวจใน HaveIBeenPwned คืออีเมลแรก แต่ไม่ปรากฏในการรั่วไหลครั้งนี้
บัญชีอื่น ๆ ไม่กี่บัญชีที่ใช้อีเมลและรหัสผ่านเฉพาะสำหรับ IA ทั้งหมดแสดงขึ้นมาอย่างถูกต้องในการรั่วไหลครั้งนี้
อธิบายไม่ได้ว่าทำไมถึงเป็นแบบนั้น แต่ฉันก็คิดเรื่องนั้นขึ้นมาทันทีเหมือนกัน และอยากทิ้งตัวอย่างที่ตรงกันข้ามไว้ด้วย