Новости
Сайт The Wayback Machine — архив интернет-страниц и одна из крупнейших в мире интернет-библиотек — был взломан, а также подвергся DDOS-атаке, из-за которой оказался частично недоступен 9 и 10 октября. Хакеры разместили на главной странице библиотеки уведомление о том, что сайт взломан и пароли 31 млн пользователей украдены.
Как сообщает портал BleepingComputer, в результате атаки действительно оказались скомпрометированы аккаунты 31 млн пользователей. Информацию порталу подтвердил создатель сервиса Have I Been Pwned (примерный перевод названия портала — «Меня взломали?», на нем пользователи могут проверить, находятся ли их данные в утечках информации). Ответственность за DDOS-атаку взяла на себя группировка sn_blackmeta, которая якобы взломала главный архив интернета в знак протеста против США и Израиля. Также хакеры атаковали портал проекта Open Library («Открытая библиотека») — архив информации о большой части книг, которые были изданы в мире с конца XIX века по сей день. По состоянию на вечер 10 октября сайты The Wayback Machine и Open Library остаются недоступными.
Сообщение, которое видели пользователи The Wayback Machine 9 и 10 октября
Как рассказал основатель Internet Archive Брюстер Кейл, атаки на портал начались 8 октября и после перерыва продолжились 9 октября, а затем 10 октября. Указанное им время совпадает с временем, когда проводила атаки группировка sn_blackmeta, — она разместила информацию об этом и скриншоты программного обеспечения, которое используется в DDOS-атаках, у себя в Telegram-канале. Брюстер Кейл отметил, что 10 октября был атакован и проект Open Library — его также создал Кейл вместе с другими интернет-активистами, поддержку проекта осуществляет Internet Archive.
«Что известно: DDOS-атака по состоянию на сейчас отражена; дефейс нашего сайта произошел с помощью JS-библиотеки; произошла утечка юзернеймов/емейлов/паролей [в зашифрованном виде]. Что мы сделали: выключили JS-библиотеку, почистили системы, улучшаем безопасность», — написал Брюстер Кейл утром 10 октября. Через несколько часов он добавил, что атака началась снова, на этот раз был атакован также сайт «Открытой библиотеки», оба сайта временно отключены.
В сообщении, размещенном хакерами на сайте The Wayback Machine, говорилось о том, что оказались скомпрометированы данные 31 млн пользователей. «У вас было когда-то ощущение, что архив интернета работает „на костылях“ и вот-вот произойдет катастрофический взлом? Вот это и случилось. Ищите 31 млн из вас на Have I Been Pwned», — говорилось в сообщении. Оно очевидно написано не носителями английского языка, так как выражения „runs on sticks“, которое использовали авторы, чтобы, по всей видимости, передать идею того, что библиотека работает «на костылях» — то есть с помощью временных и ненадежных решений, которые часто становятся уязвимыми перед хакерами, — не существует в английском языке.
Пользователи Twitter спросили, зачем группировка sn_blackmeta атакует интернет-библиотеки — нейтральные ресурсы, которые не являются ни финансово привлекательными, ни поддерживающими какие-либо политические стороны. Аккаунт группировки ответил, что атака на The Wayback Machine происходит «потому, что архив принадлежит США, а как все мы знаем, ужасное и лицемерное правительство [этой страны] поддерживает геноцид, который совершает террористическое государство Израиль». Пользователи Twitter разместили под каждым постом группировки опровержение этой информации. В действительности Internet Archive является некоммерческой организацией, зарегистрированной в США. Бо́льшую часть ее бюджета составляют пожертвования пользователей со всего мира, а также доходы от услуг автоматического сбора информации в интернете (кроулинга). В заметках сообщества также отмечено, что Internet Archive содержит большое количество материалов о Палестине, которые оказались недоступны из-за атаки, якобы направленной на поддержку Палестины.
Создатель сайта Have I Been Pwned Трой Хант рассказал, что хакеры передали ему базу данных пользователей The Wayback Machine 30 сентября. Трой верифицировал данные из базы, те оказались реальными. В базе содержится информация тех пользователей, которые были зарегистрированы: почта, юзернейм, пароли в зашифрованном виде, даты изменения паролей и другие данные. Самая ранняя запись в базе относится к 28 сентября 2024 года — предположительно, тогда она и была украдена.
Специалист по кибербезопасности Скотт Хельм разрешил порталу BleepingComputer опубликовать фрагмент из утечки, относящийся к его аккаунту. В нем видно, что в утечке есть хэшированный пароль, который совпал с хэшем, который Хельм хранил в своем хранилище паролей.
Фрагмент утечки данных пользователей The Wayback Machine
Бо́льшая часть пользователей портала не регистрируются: регистрация не нужна ни для того, чтобы просматривать архивные страницы, ни для того, чтобы их сохранять. Она нужна для использования библиотеки книг (в ней электронные копии можно взять на время, как в физической библиотеке, и потом вернуть), а также для создания коллекция архивных страниц. Последней функцией пользуются, в частности, журналисты и правозащитники, чтобы зафиксировать состояние некоторых интернет-страниц на определенный момент в качестве доказательства, что такая-то информация на них была опубликована.
Трой Хант считает, что два факта — DDOS-атака и утечка данных пользователей — не связаны между собой, а лишь частично совпали по времени. В частности, он предполагает это в связи с тем, что хакеры, укравшие данные пользователей, вышли с ним на контакт за неделю до начала DDOS-атаки. При этом сам Хант осознал масштаб утечки только через несколько дней после того, как ему были переданы данные.
Донни Чонг, директор компании Nexusguard, которая специализируется на защите от DDOS-атак, в интервью Forbes отметил, что нет свидетельств того, что DDOS-атака, организованная sn_blackmeta, связана с утечкой данных пользователей.
The Wayback Machine уже сталкивался с масштабной DDOS-атакой в мае этого года, и ответственность за нее тогда взяла на себя та же группировка sn_blackmeta. Тогда, по уверению библиотеки, данные пользователей не пострадали, однако некоторое время ресурс был недоступен.
Кто именно стоит за sn_blackmeta, неизвестно. Летом 2024 года группировка брала на себя ответственность за атаки на банки и финансовые организации на Ближнем Востоке — в первую очередь в Израиле и в ОАЭ. В Telegram-канале группировки тогда было опубликовано большое количество сообщений о том, что якобы эмиратское правительство и банки поддерживают Израиль, однако сейчас эти сообщения удалены. Также недолгое время были атакованы сайты Минобороны Саудовской Аравии и аэропорта Бен Гурион.