1 คะแนน โดย GN⁺ 2024-10-10 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • มีการเผยคำเตือนว่าข้อมูลบัญชี 31 ล้านรายการถูกเปิดเผย หลังผู้เยี่ยมชม Internet Archive พบป๊อปอัปที่ถูกแก้ไขบนเว็บไซต์ และยังถูกโจมตีแบบ DDoS ต่อเนื่อง
  • ผู้ก่อตั้ง Brewster Kahle ยืนยันการละเมิดหลังเวลา 9PM ET ไม่นาน และระบุว่าการแจ้งเตือนถูกแทรกเข้ามาในเว็บไซต์ผ่าน JavaScript library
  • Troy Hunt ผู้ดูแล Have I Been Pwned เปิดเผยว่าไฟล์ที่ได้รับเมื่อ 9 วันก่อนมีอีเมลที่ไม่ซ้ำกัน 31 ล้านรายการ และได้ตรวจสอบความถูกต้องโดยเทียบกับข้อมูลบัญชีผู้ใช้
  • ไฟล์ที่รั่วไหลมีอีเมล ชื่อที่แสดง เวลาแก้ไขรหัสผ่าน รหัสผ่านที่แฮชด้วย Bcrypt และข้อมูลภายในอื่น ๆ โดย 54% ของบัญชีมีอยู่ใน HIBP อยู่ก่อนแล้วจากเหตุรั่วไหลครั้งก่อน
  • หลังปิดป๊อปอัป เว็บไซต์ยังโหลดได้แต่ช้าลง อย่างไรก็ตาม ณ เวลา 5:30PM ET ป๊อปอัปหายไปแล้ว แต่เว็บไซต์แสดงหน้าเปล่าหรือมีเพียงข้อความแจ้งออฟไลน์ชั่วคราว

การแก้ไขหน้าเว็บไซต์และการยืนยันการละเมิด

  • เมื่อเข้า Internet Archive ในช่วงบ่ายวันพุธ ผู้เยี่ยมชมจะเห็นข้อความป๊อปอัปแจ้งว่าเว็บไซต์ถูกแฮ็ก
  • ในป๊อปอัปมีข้อความว่า Internet Archive “เคยรู้สึกไหมว่ามันเหมือนกำลังหมุนวนอยู่กับที่ด้วยไม้เท้า และเหมือนอยู่ก่อน catastrophic security breach เพียงนิดเดียว” พร้อมข้อความ “31 million of you on HIBP”
  • หลัง 9PM ET ไม่นาน ผู้ก่อตั้ง Internet Archive Brewster Kahle ยืนยันการละเมิด และระบุว่าเว็บไซต์ถูกแก้ไขให้แสดงการแจ้งเตือนดังกล่าวผ่าน JavaScript library

ข้อมูลบัญชีที่ส่งให้ HIBP

  • HIBP ย่อมาจาก Have I Been Pwned ซึ่งเป็นบริการให้ผู้ใช้ตรวจสอบได้ว่าข้อมูลของตนรวมอยู่ในข้อมูลที่รั่วจากการโจมตีทางไซเบอร์หรือไม่
  • Troy Hunt ผู้ดูแล HIBP ยืนยันกับ BleepingComputer ว่าเขาได้รับไฟล์เมื่อ 9 วันก่อน ซึ่งมีอีเมลที่ไม่ซ้ำกัน 31 ล้านรายการ
  • ไฟล์ดังกล่าวมีข้อมูลต่อไปนี้
    • ที่อยู่อีเมล
    • ชื่อที่แสดง
    • เวลาประทับการเปลี่ยนรหัสผ่าน
    • รหัสผ่านที่แฮชด้วย Bcrypt

      • ข้อมูลภายในอื่น ๆ
      • Hunt ตรวจสอบความถูกต้องของข้อมูลโดยเทียบกับบัญชีผู้ใช้

ช่วงเวลาที่กระบวนการเปิดเผยข้อมูลทับซ้อนกับ DDoS

  • ตามโพสต์ของ HIBP บัญชีที่รั่วไหล 54% มีอยู่ในฐานข้อมูล HIBP อยู่ก่อนแล้วจากเหตุละเมิดครั้งก่อน
  • Troy Hunt ยังแชร์กำหนดการเปิดเผยข้อมูลผ่านบัญชีของเขา
    • วันที่ 6 ตุลาคม ได้แจ้ง Internet Archive ถึงเหตุละเมิด
    • ดำเนินกระบวนการเปิดเผยข้อมูล
    • ระหว่างเตรียมโหลดข้อมูลเข้า HIBP เพื่อแจ้งผู้ใช้ที่ได้รับผลกระทบ ก็เกิดการแก้ไขเว็บไซต์และ DDoS พร้อมกัน

การเปลี่ยนแปลงของสถานะการเข้าถึงเว็บไซต์

  • หลังปิดป๊อปอัป เว็บไซต์ยังโหลดได้ตามปกติ แต่ทำงานช้า
  • ณ เวลา 5:30PM ET ป๊อปอัปหายไป แต่ตัวเว็บไซต์ก็หายไปด้วยเช่นกัน
  • ผู้เยี่ยมชมจะไม่เห็นอะไรเลย หรือเห็นเพียงข้อความชั่วคราวว่า “Internet Archive services are temporarily offline” พร้อมลิงก์ไปยังบัญชีของ Internet Archive

1 ความคิดเห็น

 
GN⁺ 2024-10-10
ความคิดเห็นจาก Hacker News
  • จากมุมมองด้านความเป็นส่วนตัว สิ่งสำคัญอีกอย่างคือ ผู้ที่เคยอัปโหลดอะไรบางอย่างไปยัง IA นั้นมี ที่อยู่อีเมลถูกเปิดเผยในเมทาดาทาสาธารณะ อยู่แล้ว
    แม้จะไม่ใช่ข้อเท็จจริงที่คนรู้กันทั่วไป แต่เมทาดาทาของการอัปโหลดทั้งหมดที่ดูได้แบบสาธารณะจะมีอีเมลบัญชี IA ของผู้อัปโหลดอยู่
    เรื่องนี้แย่ในมุมความปลอดภัยด้วย และผู้ใช้จำนวนมากที่เคยอัปโหลดก็น่าจะไม่รู้รายละเอียดนี้

    • จึงเกิดคำถามที่น่าสนใจว่า: ที่อยู่อีเมลควรเป็นข้อมูลส่วนตัวหรือไม่? ที่อยู่ของอาคารไม่ใช่ข้อมูลส่วนตัว และก็อาจมองได้ว่าคล้ายกันในระดับหนึ่งเหมือนแนวคิดด้านคอมพิวติ้งหลายอย่าง
      ก่อนที่ตัวกรองสแปมจะดีขึ้น การทำให้ที่อยู่อีเมลอ่านยากเล็กน้อยเพื่อกันการเก็บรวบรวมที่อยู่เป็นเรื่องปกติ แต่ดูเหมือนว่ายุคนั้นจะผ่านไปแล้ว และนี่ก็เป็นประเด็นคนละเรื่องกับความเป็นส่วนตัว
      หากใครอัปโหลดแล้วไม่อยากถูกติดตามอย่างเด็ดขาด ก็ต้องใช้อีเมลแบบใช้แล้วทิ้งอยู่ดี
      หากให้ที่อยู่ “ส่วนตัว” แก่ผู้ดูแลบริการโดยไม่ได้ห้ามอย่างชัดเจนไม่ให้เปิดเผยต่อ ก็อาจมองได้คล้ายกับการไม่ได้ขอไม่ให้ Alice นำเรื่องที่บอกไปเล่าให้ Bob ฟัง
    • ไม่ใช่แค่การอัปโหลดเท่านั้น แต่รวมถึงทุกรายการที่ใช้อีเมลเป็น ตัวระบุผู้ใช้แบบไม่ซ้ำกัน ด้วย
      ไม่เพียง XML ของการอัปโหลดเท่านั้น โปรไฟล์ก็มีที่อยู่อีเมลอยู่ด้วย และใครก็ตามสามารถเข้าถึงได้เพียงเปลี่ยน URL จาก https://archive.org/details/@foobar เป็น https://archive.org/download/foobar
      กล่าวคือ ไม่ว่าจะอัปโหลดหรือไม่ แค่มีบัญชีที่ลงทะเบียนไว้ก็อาจถูกเปิดเผยได้
      https://help.archive.org/help/accounts-a-basic-guide-2/
    • แค่นี้ก็แย่พอแล้ว สิ่งนี้เองเป็นทั้ง บั๊กด้านความเป็นส่วนตัวและการรั่วไหลของข้อมูล
      ในทางทฤษฎี ใครสักคนสามารถสแครปหน้าเว็บแล้วสร้างรายชื่ออีเมลที่ถูกเปิดเผยได้
    • วิธีแก้อย่างหนึ่งคือใช้ ที่อยู่อีเมลที่ไม่ซ้ำกัน สำหรับแต่ละเว็บไซต์ และหากเว็บไซต์ถูกเจาะ ก็เปลี่ยนอีเมลนั้นแล้วนำที่อยู่เดิมไปใส่ในตัวกรองสแปม
  • ผมเคยดาวน์โหลดเว็บไซต์ของเพื่อนเก่าจาก Internet Archive แล้วนำกลับขึ้นมาใหม่
    เขาเสียชีวิตไปแล้ว แต่ผมดีใจที่สามารถฟื้นเว็บไซต์นั้นขึ้นมาได้
    คงน่าเสียดายถ้า IA หายไปถาวร แต่ไม่ว่าจะอย่างไร เราจำเป็นต้องมี โซลูชันแบบกระจายศูนย์
    โครงสร้างที่ให้องค์กรยักษ์ใหญ่เพียงแห่งเดียวดูแลมรดกร่วมของพวกเราไม่ใช่ความคิดที่ดี

    • ผมคิดแบบนี้มาตลอด น่าจะน่าสนใจถ้าให้อุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตเก็บ ชิ้นส่วนข้อมูลซ้ำซ้อน ขนาดเล็กไว้
      คล้ายกับทอร์เรนต์มาก แต่เป็นแนวทางที่มีเพียร์และชิ้นส่วนข้อมูลมากกว่า seed ที่มีสำเนาทั้งชุด
      อาจเป็นการดูแลฐานข้อมูลขนาดใหญ่สำหรับทุกคน แน่นอนว่าควรเป็นโอเพนซอร์ส และช่วยเครือข่ายด้วยแพตช์ความปลอดภัยเหมือน Tor แต่ไม่มี “การควบคุมแบบแดชบอร์ดผู้ดูแล” จริง ๆ เหนือทั้งเครือข่าย
      ตอนนี้เราก็ทำสิ่งคล้ายกันในสเกลเล็กกว่าสำหรับการแคชไฟล์สแตติกของเว็บไซต์อยู่แล้ว แต่ยังเล็กกว่ามาก
      ความท้าทายด้านความปลอดภัยคงใหญ่มาก แต่อาจไม่ถึงขั้นเป็นไปไม่ได้ที่จะเอาชนะ IPFS ใกล้เคียงอยู่ แต่ก็ยังค่อนข้างเน้น seed
      ถ้ามีใครรู้จักอะไรที่คล้าย ๆ แบบนี้ อยากฟังเหมือนกัน
    • นั่นจึงเป็นเหตุผลที่ BitTorrent และ โซลูชัน P2P อื่น ๆ ถูกคิดค้นขึ้นมา แต่ความเป็นจริงคือ: RIAA, MPAA, ESA ทำให้เทคโนโลยีเหล่านี้มีชื่อเสียงย่ำแย่ และไม่มีใครชอบคงการ seed ไว้
      ถ้า cryptocurrency ยังไม่ถูกทำให้กลายเป็นปีศาจไปแล้ว แรงจูงใจแบบ cryptocurrency ที่อิงกับการ seed อาจเป็นเรื่องยอดเยี่ยมก็ได้
    • นั่นแหละคือ โปรโตคอลทอร์เรนต์ และมันทำงานได้ไม่ดีนัก
      ไม่มีใครอยากจ่ายเงินและแบนด์วิดท์เพื่อโฮสต์หนังหรือหนังสือที่มีคนเพียงไม่กี่คนสนใจ
    • ผมยังอยากลองทำสิ่งแบบนี้ต่อไปสำหรับเว็บไซต์เก่า ๆ เป็นเหมือน IA ขนาดย่อมส่วนตัว
      มีทิปอะไรสำหรับดาวน์โหลดเว็บไซต์ที่ใช้งานได้ครบถ้วนจาก IA ไหม นอกเหนือจากการใช้ wget หรือ curl?
    • โดยเฉพาะอย่างยิ่ง หากเป็นองค์กรที่แสดงให้เห็นแล้วว่าไม่ได้ยุติธรรมเสมอไป ก็ยิ่งไม่ควรฝากไว้กับที่เดียว
  • มีข้อมูลเพิ่มเติมเกี่ยวกับการละเมิดข้อมูลอยู่ที่นี่ ฐานข้อมูลที่ถูกขโมยมี 31 ล้านเรคคอร์ด
    https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/

    • เห็นว่าผู้โจมตีมักแชร์ข้อมูลที่ขโมยมาให้ Have I Been Pwned ที่ Troy Hunt ทำไว้ จริงเหรอ? ทำไปทำไม?
    • ว่ากันว่าจะถูกเพิ่มใน HIBP เร็ว ๆ นี้ แต่อีเมลที่ผมสร้างไว้เฉพาะสำหรับ archive.org ยังไม่ขึ้น
    • สิ่งที่ผมสงสัยคือ Scott Helme ได้รับ แฮชรหัสผ่าน ที่มีชื่อตัวเองอยู่ได้อย่างไร
    • นี่เป็นการเตือนอย่างเป็นมิตรให้สร้าง รหัสผ่านที่ไม่ซ้ำกัน สำหรับแต่ละบัญชี เพื่อให้เมื่อเกิดฐานข้อมูลรั่วไหลแบบนี้ ปัญหาจะไม่ลามไปนอกเว็บไซต์นั้น
  • เมื่อกี้ดูแล้ว เว็บไซต์แสดงคำเตือนแบบนี้:
    “เคยรู้สึกไหมว่า Internet Archive กำลังเดินเครื่องด้วยไม้ค้ำยัน และดูเหมือนจะเกิดเหตุละเมิดความปลอดภัยครั้งใหญ่ได้ทุกเมื่อ? มันเพิ่งเกิดขึ้นแล้ว เจอกันใน HIBP นะ พวกคุณ 31 ล้านคน!”

    • ตลกดีที่ผมอยู่ใน HIBP มานับครั้งไม่ถ้วนแล้ว
    • ถ้าเป็นผู้ประสงค์ร้าย ก็ควรมองว่าอีเมลและชื่อบัญชีรั่วไหลแล้วใช่ไหม?
    • ผมไม่รู้ว่านี่เป็นคำเตือนจริง หรือเป็น ร่องรอยการแฮ็ก กันแน่
      ข้อความผิดพลาดที่พยายามทำให้เป็นกันเองหรือมีอารมณ์ขัน บางครั้งก็แยกแยะได้ยาก
  • ดูเหมือนว่ามีใครบางคนเจาะ ซับโดเมนสำหรับ Polyfill ไปได้
    อัปเดต: ตอนนี้ซับโดเมนดูเหมือนจะกลับมาตอบสนองปกติแล้ว

    • หมายความว่า IA ใส่ JavaScript polyfill จากซับโดเมนบางตัว แล้วตัวนั้นถูกเจาะหรือเป็นเส้นทางที่ทำให้เกิดคำเตือนใช่ไหม?
    • ถ้าอย่างนั้นก็น่าจะอธิบายได้ระดับหนึ่งว่าเขาฝังป็อปอัปแจ้งเตือน JavaScript เข้ามาได้อย่างไร
  • นี่เป็นช่วงเวลาที่ทำให้หวังว่าคำสาปจะได้ผลจริงกับคนที่เล่นตลกแบบนี้
    “ขอให้ท่านและลูกหลานของท่านถูกหมัด 10,000 ตัวกัดเป็นเวลา 10,000 คืน เพื่อชดใช้กรรมชั่วที่ทำไว้”

  • ตอนนี้อาจไม่ใช่เวลาที่เหมาะจะพูดเรื่องนี้ แต่การไล่ดูคอลเลกชันที่มีรายการต่าง ๆ แล้วดึง อีเมลทั้งหมด พร้อมชื่อผู้ใช้ออกมานั้นง่ายอย่างน่าตกใจ
    https://archive.org/metadata/naturally_a_girl/metadata
    คนที่กวาดอีเมลที่ผูกกับชื่อผู้ใช้ไปเป็นจำนวนมากไม่ทางใดก็ทางหนึ่ง สุดท้ายก็คงต้องมีอยู่แล้ว
    แอบสงสัยนิดหน่อยว่าแฮ็กเกอร์เจาะฐานข้อมูลและเอารหัสผ่านไปได้อย่างไร

    • เรื่องแบบนี้ไม่เคยรู้เลย ถ้ารู้ว่าอีเมลเป็นข้อมูลสาธารณะ คงทำอะไรหลายอย่างต่างไปแน่นอน
      พูดตรง ๆ ดูเหมือนเป็น ข้อบกพร่องในการออกแบบ
    • ใช่แล้ว ความกังวลเรื่องอีเมลถูกเมินมาตลอด
      https://github.com/internetarchive/iaux/issues/892
  • ทำไมต้องเล็ง Internet Archive ด้วย ไปเล็งอย่างอื่นสิ อย่ามายุ่งกับคลังเก็บบันทึกบ้า ๆ นี่เลย

    • เราจำเป็นต้องมี คลังเก็บแบบกระจายศูนย์ ในรูปแบบใดสักอย่างที่ทุกคนเข้าถึงได้ง่าย
  • กระทู้นี้น่าจะเป็นหนึ่งในที่แรก ๆ ที่บันทึกเหตุการณ์นี้ไว้ เหมือนจะขึ้นอยู่บนสุดของ Google
    มีบัญชีที่เพิ่งสร้างใหม่เพราะเรื่องนี้แล้วสองบัญชี

    • ดูเหมือนจะมีมากกว่าสองนะ
    • ลองค้นดูหลายที่แล้วแต่ไม่เห็นมีใครพูดถึง เลยเพิ่งรู้ว่าเรื่องนี้เพิ่งเกิดขึ้นสด ๆ ร้อน ๆ
  • ใช้บัญชี IA ด้วยที่อยู่ Gmail มาหลายปี แล้วเมื่อ 9 เดือนก่อนเปลี่ยนอีเมลเป็นที่อยู่แบบมาสก์ที่สร้างจากโดเมนของตัวเอง
    แต่ตอนนี้มาดูแล้วพบว่า ที่อยู่ Gmail ของฉันยังถูกเก็บไว้ และรวมอยู่ในการรั่วไหลด้วย ทำไมถึงเป็นแบบนั้น?
    เข้าใจได้ว่าอาจเก็บประวัติการเปลี่ยนแปลงไว้ แต่ทำไมต้องเก็บมันไว้ด้วย?
    ข้อมูลบัญชีปัจจุบันคือเปลี่ยนรหัสผ่านเป็นสตริงสุ่มอื่นที่ตัวจัดการรหัสผ่านสร้างให้แล้ว และลบที่อยู่อีเมลแบบมาสก์ก่อนสร้างใหม่
    ต่อไปเรื่องแบบนี้คงไม่เป็นปัญหาใหญ่สำหรับฉันแล้ว

    • เคยเจอสถานการณ์คล้ายกัน ตอนแรกสมัครด้วยบัญชีหลัก แล้วต่อมาเปลี่ยนอีเมล IA เป็นที่อยู่ที่เป็นส่วนตัวมากขึ้น
      สิ่งแรกที่ตรวจใน HaveIBeenPwned คืออีเมลแรก แต่ไม่ปรากฏในการรั่วไหลครั้งนี้
      บัญชีอื่น ๆ ไม่กี่บัญชีที่ใช้อีเมลและรหัสผ่านเฉพาะสำหรับ IA ทั้งหมดแสดงขึ้นมาอย่างถูกต้องในการรั่วไหลครั้งนี้
      อธิบายไม่ได้ว่าทำไมถึงเป็นแบบนั้น แต่ฉันก็คิดเรื่องนั้นขึ้นมาทันทีเหมือนกัน และอยากทิ้งตัวอย่างที่ตรงกันข้ามไว้ด้วย
    • เป็นไปได้ว่าการเจาะระบบเกิดขึ้นเร็วกว่าที่รายงาน หรือดำเนินอยู่นานกว่านั้น