Internet Archive, noto per la sua missione di preservare il passato digitale attraverso la Wayback Machine, è stato colpito da uno degli attacchi informatici più gravi della sua storia.
Il furto di 31 milioni di password e un attacco DDoS hanno messo temporaneamente fuori uso l’intero sito e compromesso i dati di milioni di utenti.
La natura precisa degli attacchi e i loro collegamenti restano oggetto di indagine, ma gli esperti di sicurezza suggeriscono che potrebbero essere stati orchestrati dallo stesso gruppo di hacker.
Il primo segnale che indicava qualcosa di anomalo era apparso direttamente sul sito archive.org sotto forma di un popup JavaScript, che avvertiva gli utenti di una violazione. Il messaggio recitava ironicamente:
Avete mai avuto la sensazione che l’Internet Archive funzionasse su fragili basi ed era sul punto di subire una catastrofica violazione di sicurezza? È appena successo. Ci vediamo in 31 milioni su HIBP!
Poco dopo, è emerso che gli hacker erano riusciti a sottrarre un database di 6,4 GB contenente informazioni di autenticazione degli utenti registrati.
Troy Hunt, fondatore del noto servizio di notifica delle violazioni Have I Been Pwned (HIBP), ha confermato la ricezione di questo database, che sembra provenire dall’Internet Archive.
Al suo interno sono stati trovati indirizzi email, nomi utente, timestamp relativi alle modifiche delle password e password crittografate con Bcrypt. L’ultima modifica nel database risale al 18 settembre, suggerendo che il furto sia avvenuto in quel periodo.
In totale, i record compromessi sono 31 milioni, e presto saranno aggiunti al servizio Have I Been Pwned per consentire agli utenti di verificare se le proprie informazioni siano state esposte.
Nonostante le password siano state protette tramite crittografia Bcrypt, che rende difficile la loro decrittazione, gli esperti sottolineano l’importanza di modificare le password e assicurarsi che non siano riutilizzate su altri servizi.
Oltre alla violazione dei dati, l’Internet Archive ha subito un attacco DDoS su vasta scala che ha temporaneamente messo offline il sito.
Questo tipo di attacco, che sovraccarica i server con un volume di traffico eccessivo, è stato rivendicato dal gruppo di hacktivisti pro-palestinesi Black Meta.
Gli attacchi DDoS spesso hanno motivazioni politiche, e il gruppo sembra aver preso di mira l’Internet Archive per il suo ruolo nella preservazione delle informazioni.
Gli hacker non si sono limitati a sovraccaricare i server; sono riusciti a manipolare anche alcune pagine del sito, un fenomeno noto come “defacement”, dimostrando che avevano un certo controllo sul contenuto web servito agli utenti.
The @internetarchive’s Wayback Machine resumed in a provisional, read-only manner.
Sorry, no Save Page Now yet.
Safe to resume but might need further maintenance, in which case it will be suspended again.
Please be gentle https://t.co/sb5tlvxQ26
More as it happens.
— Brewster Kahle (@brewster_kahle) October 14, 2024
Brewster Kahle, fondatore e presidente di Internet Archive, ha confermato l’attacco attraverso un messaggio pubblicato su X (ex Twitter), in cui ha descritto le azioni intraprese per contenere i danni:
- Hanno disabilitato la libreria JavaScript compromessa che gli hacker avevano utilizzato per modificare il sito.
- Stanno pulendo i sistemi e implementando aggiornamenti di sicurezza.
- Hanno promesso di continuare a fornire aggiornamenti man mano che emergeranno nuovi dettagli.
Internet Archive, pur non essendo un’organizzazione con risorse significative come grandi aziende tecnologiche, è riuscita a limitare i danni grazie all’uso di tecniche di sicurezza avanzate come la crittografia delle password con Bcrypt.
Secondo Adam Brown, consulente di sicurezza di Black Duck, Bcrypt, se implementato correttamente, previene l’estrazione delle password, anche se le password deboli o comuni potrebbero comunque essere vulnerabili agli attacchi di tipo “rainbow table”.
Jake Moore, consulente globale di sicurezza informatica presso ESET, ha evidenziato che, sebbene le password rubate siano criptate, esiste il rischio che vengano decifrate se confrontate con violazioni precedenti, soprattutto se gli utenti riutilizzano le stesse password.
Moore ha avvertito dell’importanza di utilizzare password uniche e aggiornate per ciascun servizio e ha raccomandato agli utenti di controllare se i propri dati siano stati coinvolti nell’attacco tramite servizi come Have I Been Pwned.
Anche se non è chiaro come gli hacker abbiano ottenuto accesso all’infrastruttura dell’Internet Archive, Jason Meller, vice presidente di prodotto di 1Password ed ex stratega capo della sicurezza presso Mandiant, ha osservato che la violazione suggerisce una carenza nei controlli di sicurezza attorno al database di autenticazione SQL.
L’attacco alla Wayback Machine rappresenta una delle violazioni più significative mai subite da una piattaforma così centrale per la storia di Internet.
La compromissione di milioni di dati di autenticazione evidenzia ancora una volta l’importanza della sicurezza digitale, non solo per gli utenti, ma anche per le organizzazioni che custodiscono una parte cruciale del nostro patrimonio informativo.
Gli esperti di sicurezza consigliano a tutti gli utenti dell’Internet Archive di cambiare immediatamente le proprie password e di attivare l’autenticazione a due fattori, dove possibile.
Inoltre, è consigliabile monitorare eventuali notifiche da parte di servizi di segnalazione di violazioni per verificare se i propri dati siano stati esposti.
Fonte: forbes.com
