1 puan yazan GN⁺ 2024-10-10 | 1 yorum | WhatsApp'ta paylaş
  • Internet Archive ziyaretçilerine sitede yapılan değişiklikle bir açılır pencere gösterildi ve ardından DDoS saldırısı da yaşandı; 31 milyon hesap bilgisinin açığa çıktığına dair uyarı yayımlandı
  • Kurucu Brewster Kahle, 9PM ET’den hemen sonra ihlali doğruladı ve bildirimin bir JavaScript kütüphanesi üzerinden web sitesine enjekte edildiğini açıkladı
  • Have I Been Pwned işletmecisi Troy Hunt, 9 gün önce aldığı dosyada 31 milyon benzersiz e-posta adresi bulunduğunu ve bunları kullanıcı hesap verileriyle karşılaştırarak geçerliliğini doğruladığını söyledi
  • Sızdırılan dosyada e-posta adresleri, ekran adları, parola değiştirme zaman damgaları, Bcrypt hash’lenmiş parolalar ve diğer dahili veriler yer aldı; hesapların %54’ü daha önceki ihlaller nedeniyle zaten HIBP’de bulunuyordu
  • Açılır pencere kapatıldığında site yavaş yüklense de, 5:30PM ET itibarıyla açılır pencere kaybolmuş, bunun yerine site boş görünmüş veya yalnızca geçici çevrimdışı bildirimi gösterilmişti

Site değişikliği ve ihlalin doğrulanması

  • Çarşamba öğleden sonra Internet Archive ziyaret edildiğinde sitenin hacklendiğini belirten bir açılır mesaj gösterildi
  • Açılır pencerede, Internet Archive’ın “sanki çubuklarla çalışıyormuş gibi göründüğü ve catastrophic security breach’in eşiğindeymiş gibi hissettirdiği oldu mu” ifadesiyle birlikte “31 million of you on HIBP” mesajı yer aldı
  • 9PM ET’den hemen sonra Internet Archive kurucusu Brewster Kahle ihlali doğruladı ve web sitesinin bir JavaScript kütüphanesi üzerinden bu bildirimle değiştirildiğini açıkladı

HIBP’ye iletilen hesap verileri

  • HIBP, Have I Been Pwned ifadesinin kısaltmasıdır; kullanıcıların, siber saldırılarla sızdırılan verilerde kendi bilgilerinin yer alıp almadığını kontrol edebildiği bir hizmettir
  • HIBP işletmecisi Troy Hunt, BleepingComputer’a 9 gün önce 31 milyon benzersiz e-posta adresi içeren bir dosya aldığını doğruladı
  • Dosyada şu bilgiler yer aldı
    • E-posta adresleri
    • Ekran adları
    • Parola değiştirme zaman damgaları
    • Bcrypt hash’lenmiş parolalar

      • Diğer dahili veriler
      • Hunt, bu verileri kullanıcı hesaplarıyla karşılaştırarak geçerliliğini doğruladı

Açıklama süreci ile DDoS’un çakıştığı zamanlama

  • HIBP’nin gönderisine göre sızdırılan hesapların %54’ü, önceki ihlaller nedeniyle zaten HIBP veritabanında bulunuyordu
  • Troy Hunt, kendi hesabında açıklama takvimini de paylaştı
    • 6 Ekim’de Internet Archive ile iletişime geçerek ihlali bildirdi
    • Açıklama sürecini yürüttü
    • Verileri HIBP’ye yükleyip etkilenen kullanıcılara bildirim göndermeye hazırlandığı sırada site değişikliği ve DDoS aynı anda meydana geldi

Site erişim durumundaki değişiklik

  • Açılır pencere kapatıldıktan sonra site normal şekilde yüklendi ancak yavaş çalıştı
  • 5:30PM ET itibarıyla açılır pencere kaybolmuştu, fakat site de beraberinde ortadan kalkmış durumdaydı
  • Ziyaretçilere hiçbir şey gösterilmedi ya da “Internet Archive services are temporarily offline” şeklinde geçici çevrimdışı bildirimi gösterildi ve Internet Archive’ın hesabına yönlendirildiler

1 yorum

 
GN⁺ 2024-10-10
Hacker News yorumları
  • Gizlilik açısından bakıldığında, IA'ya bir şey yüklemiş olan herkesin e-posta adresinin herkese açık meta verilerde zaten göründüğünü bilmek de önemli
    Çok bilinen bir gerçek değil ama herkese açık olarak görülebilen tüm yükleme meta verilerinde yükleyenin IA hesabına ait e-posta adresi yer alıyor
    Güvenlik açısından da kötü, ancak yükleme deneyimi olan birçok kullanıcının bu ayrıntıdan habersiz olması büyük olasılık

    • İlginç bir soru doğuyor: E-posta adresleri gizli mi olmalı? Bina adresleri gizli değildir ve birçok bilişim kavramı gibi bir ölçüde benzer görülebilir
      Spam filtreleri iyileşmeden önce adres toplamayı engellemek için biraz belirsizleştirme yapmak yaygındı, ama o günler geride kalmış gibi; bu da gizlilikten ayrı bir mesele
      Birisi yükleme yaptıktan sonra kesinlikle izlenmek istemiyorsa zaten tek kullanımlık bir adres kullanmalı
      Bir hizmet yöneticisine “gizli” bir adres verip bunun daha fazla paylaşılmasını açıkça yasaklamadıysanız, bu biraz Alice'e söylediğiniz şeyi Bob'a anlatmamasını özellikle istememiş olmanıza benzetilebilir
    • Bu yalnızca yüklemeler için değil, e-posta adresini benzersiz kullanıcı tanımlayıcısı olarak kullanan her şey için geçerli
      E-posta adresi yalnızca yüklemenin XML'inde değil, profilde de yer alıyor; herkes URL'yi https://archive.org/details/@foobar adresinden https://archive.org/download/foobar biçimine çevirmekle erişebiliyor
      Yani yükleme yapıp yapmadığından bağımsız olarak, yalnızca kayıtlı bir hesap varsa bile açığa çıkabilir
      https://help.archive.org/help/accounts-a-basic-guide-2/
    • Tek başına bu bile yeterince kötü. Bu başlı başına bir gizlilik hatası ve veri sızıntısı
      Teorik olarak biri sayfaları kazıyıp açığa çıkan e-posta adreslerinin listesini çıkarabilir
    • Bir çözüm, her site için benzersiz bir e-posta adresi kullanmak; site ihlal edilirse o adresi değiştirip eski adresi spam filtresine koymak
  • Eski bir arkadaşımın web sitesini Internet Archive'dan indirip yeniden yayına aldım
    Kendisi vefat etti ama o siteyi yeniden hayata döndürebildiğim için mutluydum
    IA kalıcı olarak yok olursa üzücü olur, ama her hâlükârda dağıtık bir çözüme ihtiyacımız var
    Kolektif mirasımızı tek bir dev kuruluşun yönettiği bir yapı iyi bir fikir değil

    • Hep böyle düşünmüşümdür. İnternete bağlı cihazlarda kullanıcıların küçük miktarlarda yedekli veri parçaları saklamasını sağlamak ilginç olurdu
      Torrent'e çok benzer, ama tam kopyaya sahip seed'lerden daha fazla eş ve daha fazla veri parçası olan bir yaklaşım
      Herkes için dev bir veritabanı tutan, doğal olarak açık kaynak olan; Tor gibi güvenlik yamalarıyla ağa katkı sağlayan, ama tüm ağ üzerinde gerçek anlamda “yönetici paneli tarzı kontrol” bulunmayan bir yapı olabilir
      Web sitesi statik dosya önbelleklemesiyle daha küçük ölçekte benzer bir şeyi zaten yapıyorum, ama çok daha küçük düzeyde
      Güvenlik açısından zorluklar çok büyük olurdu, fakat belki aşılması imkânsız değildir. IPFS buna yakın, ama yine seed merkezli yapıya daha yakın
      Buna benzer bir şey bilen varsa duymak isterim
    • BitTorrent ve diğer P2P çözümlerinin icat edilme nedeni de buydu, ama gerçek şu: RIAA, MPAA ve ESA bu teknolojilere korkunç bir itibar yapıştırdı ve kimse seed tutmayı sevmiyor
      Kripto para zaten şeytanlaştırılmamış olsaydı, seed etmeye dayalı bir kripto para gibi teşvikler harika olabilirdi
    • Bu zaten torrent protokolü ve iyi işlemedi
      Sadece birkaç kişinin umursadığı filmleri ya da kitapları barındırmak için para ve bant genişliği harcamak isteyen kimse yok
    • Eski siteler için böyle bir şeyi denemeye devam etmek istiyorum. Kişisel mini IA gibi
      wget veya curl kullanmak dışında, IA'dan kullanılabilir durumdaki eksiksiz bir web sitesini indirmek için ipucu var mı?
    • Özellikle de her zaman adil olmadığını zaten göstermiş bir kuruluşsa, bunu tek bir yere emanet etmemek gerekir
  • Veri ihlaliyle ilgili ek bilgi burada. Çalınan veritabanında 31 milyon kayıt var
    https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/

    • Saldırganların çaldıkları verileri Troy Hunt'ın oluşturduğu Have I Been Pwned ile sık sık paylaştıkları söyleniyor; gerçekten öyle mi? Neden yapsınlar?
    • HIBP'ye yakında ekleneceği söyleniyor, ama archive.org için özel olarak oluşturduğum e-posta adresim henüz çıkmıyor
    • Merak ettiğim şey, Scott Helme'nin kendi adını içeren parola hash'ini nasıl aldığı
    • Bu tür veritabanı sızıntıları olduğunda sorunun o site dışına taşmaması için her hesapta benzersiz bir parola üretmeye yönelik dostane bir hatırlatma
  • Az önce baktım, site şöyle bir uyarı gösteriyor:
    “Internet Archive'ın çubuklarla ayakta durduğunu ve her an felaket boyutunda bir güvenlik ihlali yaşayacak gibi göründüğünü hiç hissettiniz mi? Az önce oldu. HIBP'de 31 milyonunuzu göreceğiz!”

    • Komik olan, ben zaten HIBP'de sayısız kez yer alıyorum
    • Kötü niyetli bir aktör açısından bakarsak, hesap e-postası ve adın sızdığı varsayılabilir mi?
    • Bunun gerçek bir uyarı mı yoksa hack izi mi olduğunu bilmiyorum
      Samimi ya da mizah denemesi yapan hata mesajlarını ayırt etmek bazen zor olabiliyor
  • Birinin Polyfill için kullanılan bir alt alan adını ele geçirmiş gibi görünüyor
    Güncelleme: Şu anda alt alan adı tekrar normal yanıt döndürüyor gibi

    • IA'nın bir alt alan adından JavaScript polyfill'i dahil ettiği ve bunun ele geçirildiği ya da uyarının geldiği yol olduğu mu kastediliyor?
    • O zaman JavaScript uyarı pop-up'ını nasıl enjekte ettiklerini bir ölçüde açıklayabilir
  • Böyle bir şakayı yapan kişi için lanetlerin gerçekten işe yaramasını istediğiniz anlardan biri
    “Sen ve soyun, kötülüğünüzün cezası olarak 10 bin gece boyunca 10 bin pire tarafından ısırılasınız”

  • Şimdi söylemek için iyi bir zaman olmayabilir ama içinde öğeler bulunan koleksiyonlara göz atıp kullanıcı adlarıyla birlikte tüm e-postaları almak şaşırtıcı derecede kolay
    https://archive.org/metadata/naturally_a_girl/metadata
    Bir şekilde kullanıcı adlarına bağlı e-postaları toplu halde toplayan biri eninde sonunda çıkacaktı
    Hacker’ın veritabanını nasıl ihlal edip parolaları nasıl ele geçirdiğini biraz merak ediyorum

    • Bunu hiç bilmiyordum. E-postaların herkese açık olduğunu bilseydim kesinlikle bazı şeyleri farklı yapardım
      Açıkçası tasarım kusuru gibi görünüyor
    • Evet, e-posta konusundaki endişeler sürekli görmezden gelindi
      https://github.com/internetarchive/iaux/issues/892
  • Neden özellikle Internet Archive hedef alınır ki? Başka bir şeyi hedef alın, lanet arşive dokunmayın

    • Herkesin kolayca erişebileceği bir tür dağıtık arşive ihtiyacımız var
  • Bu başlık, bu olayın kayda geçtiği ilk yerlerden biri olacak gibi. Google’da en üstlerde görünüyor sanırım
    Sırf bu yüzden yeni açılmış iki hesap bile var

    • İkiden fazla görünüyor
    • Oraya buraya baktım ama hiçbir yerde bahsedilmediğini görünce bunun az önce olmuş bir şey olduğunu fark ettim
  • Yıllardır IA hesabımı Gmail adresimle kullanıyordum ve 9 ay önce e-postamı kendi alan adımla oluşturduğum maskelenmiş bir adrese değiştirdim
    Ama şimdi bakınca Gmail adresimin hâlâ saklandığını ve sızıntıya dahil olduğunu gördüm. Neden acaba?
    Değişiklik geçmişini saklayabilmelerini anlıyorum ama neden tutmaları gerekiyor ki?
    Mevcut hesap bilgilerimde parolayı parola yöneticisinin ürettiği başka bir rastgele dizgeyle değiştirdim; maskelenmiş e-posta adresini de silip yeniden oluşturdum
    Bundan sonra böyle bir şey benim için büyük sorun olmayacak

    • Benzer durumdaydım. Başta ana hesabımla kayıt olmuştum, sonra IA e-postamı daha kişisel bir adrese değiştirdim
      HaveIBeenPwned’da ilk kontrol ettiğim şey ilk e-postamdı ama bu sızıntıda çıkmadı
      IA’ya özel e-posta ve parola kullandığım diğer birkaç hesabın hepsi bu sızıntıda düzgün şekilde görünüyor
      Neden böyle olduğunu açıklayamam ama ben de hemen aynı şeyi düşündüm ve ters yönde bir örnek de bırakmak istedim
    • İhlal, bildirildiğinden daha erken bir zamanda olmuş ya da daha uzun süre devam etmiş olabilir