- Internet Archive ziyaretçilerine sitede yapılan değişiklikle bir açılır pencere gösterildi ve ardından DDoS saldırısı da yaşandı; 31 milyon hesap bilgisinin açığa çıktığına dair uyarı yayımlandı
- Kurucu Brewster Kahle, 9PM ET’den hemen sonra ihlali doğruladı ve bildirimin bir JavaScript kütüphanesi üzerinden web sitesine enjekte edildiğini açıkladı
- Have I Been Pwned işletmecisi Troy Hunt, 9 gün önce aldığı dosyada 31 milyon benzersiz e-posta adresi bulunduğunu ve bunları kullanıcı hesap verileriyle karşılaştırarak geçerliliğini doğruladığını söyledi
- Sızdırılan dosyada e-posta adresleri, ekran adları, parola değiştirme zaman damgaları, Bcrypt hash’lenmiş parolalar ve diğer dahili veriler yer aldı; hesapların %54’ü daha önceki ihlaller nedeniyle zaten HIBP’de bulunuyordu
- Açılır pencere kapatıldığında site yavaş yüklense de, 5:30PM ET itibarıyla açılır pencere kaybolmuş, bunun yerine site boş görünmüş veya yalnızca geçici çevrimdışı bildirimi gösterilmişti
Site değişikliği ve ihlalin doğrulanması
- Çarşamba öğleden sonra Internet Archive ziyaret edildiğinde sitenin hacklendiğini belirten bir açılır mesaj gösterildi
- Açılır pencerede, Internet Archive’ın “sanki çubuklarla çalışıyormuş gibi göründüğü ve catastrophic security breach’in eşiğindeymiş gibi hissettirdiği oldu mu” ifadesiyle birlikte “31 million of you on HIBP” mesajı yer aldı
- 9PM ET’den hemen sonra Internet Archive kurucusu Brewster Kahle ihlali doğruladı ve web sitesinin bir JavaScript kütüphanesi üzerinden bu bildirimle değiştirildiğini açıkladı
HIBP’ye iletilen hesap verileri
- HIBP, Have I Been Pwned ifadesinin kısaltmasıdır; kullanıcıların, siber saldırılarla sızdırılan verilerde kendi bilgilerinin yer alıp almadığını kontrol edebildiği bir hizmettir
- HIBP işletmecisi Troy Hunt, BleepingComputer’a 9 gün önce 31 milyon benzersiz e-posta adresi içeren bir dosya aldığını doğruladı
- Dosyada şu bilgiler yer aldı
- E-posta adresleri
- Ekran adları
- Parola değiştirme zaman damgaları
-
Bcrypt hash’lenmiş parolalar
- Diğer dahili veriler
- Hunt, bu verileri kullanıcı hesaplarıyla karşılaştırarak geçerliliğini doğruladı
Açıklama süreci ile DDoS’un çakıştığı zamanlama
- HIBP’nin gönderisine göre sızdırılan hesapların %54’ü, önceki ihlaller nedeniyle zaten HIBP veritabanında bulunuyordu
- Troy Hunt, kendi hesabında açıklama takvimini de paylaştı
- 6 Ekim’de Internet Archive ile iletişime geçerek ihlali bildirdi
- Açıklama sürecini yürüttü
- Verileri HIBP’ye yükleyip etkilenen kullanıcılara bildirim göndermeye hazırlandığı sırada site değişikliği ve DDoS aynı anda meydana geldi
Site erişim durumundaki değişiklik
- Açılır pencere kapatıldıktan sonra site normal şekilde yüklendi ancak yavaş çalıştı
- 5:30PM ET itibarıyla açılır pencere kaybolmuştu, fakat site de beraberinde ortadan kalkmış durumdaydı
- Ziyaretçilere hiçbir şey gösterilmedi ya da “Internet Archive services are temporarily offline” şeklinde geçici çevrimdışı bildirimi gösterildi ve Internet Archive’ın hesabına yönlendirildiler
1 yorum
Hacker News yorumları
Gizlilik açısından bakıldığında, IA'ya bir şey yüklemiş olan herkesin e-posta adresinin herkese açık meta verilerde zaten göründüğünü bilmek de önemli
Çok bilinen bir gerçek değil ama herkese açık olarak görülebilen tüm yükleme meta verilerinde yükleyenin IA hesabına ait e-posta adresi yer alıyor
Güvenlik açısından da kötü, ancak yükleme deneyimi olan birçok kullanıcının bu ayrıntıdan habersiz olması büyük olasılık
Spam filtreleri iyileşmeden önce adres toplamayı engellemek için biraz belirsizleştirme yapmak yaygındı, ama o günler geride kalmış gibi; bu da gizlilikten ayrı bir mesele
Birisi yükleme yaptıktan sonra kesinlikle izlenmek istemiyorsa zaten tek kullanımlık bir adres kullanmalı
Bir hizmet yöneticisine “gizli” bir adres verip bunun daha fazla paylaşılmasını açıkça yasaklamadıysanız, bu biraz Alice'e söylediğiniz şeyi Bob'a anlatmamasını özellikle istememiş olmanıza benzetilebilir
E-posta adresi yalnızca yüklemenin XML'inde değil, profilde de yer alıyor; herkes URL'yi https://archive.org/details/@foobar adresinden https://archive.org/download/foobar biçimine çevirmekle erişebiliyor
Yani yükleme yapıp yapmadığından bağımsız olarak, yalnızca kayıtlı bir hesap varsa bile açığa çıkabilir
https://help.archive.org/help/accounts-a-basic-guide-2/
Teorik olarak biri sayfaları kazıyıp açığa çıkan e-posta adreslerinin listesini çıkarabilir
Eski bir arkadaşımın web sitesini Internet Archive'dan indirip yeniden yayına aldım
Kendisi vefat etti ama o siteyi yeniden hayata döndürebildiğim için mutluydum
IA kalıcı olarak yok olursa üzücü olur, ama her hâlükârda dağıtık bir çözüme ihtiyacımız var
Kolektif mirasımızı tek bir dev kuruluşun yönettiği bir yapı iyi bir fikir değil
Torrent'e çok benzer, ama tam kopyaya sahip seed'lerden daha fazla eş ve daha fazla veri parçası olan bir yaklaşım
Herkes için dev bir veritabanı tutan, doğal olarak açık kaynak olan; Tor gibi güvenlik yamalarıyla ağa katkı sağlayan, ama tüm ağ üzerinde gerçek anlamda “yönetici paneli tarzı kontrol” bulunmayan bir yapı olabilir
Web sitesi statik dosya önbelleklemesiyle daha küçük ölçekte benzer bir şeyi zaten yapıyorum, ama çok daha küçük düzeyde
Güvenlik açısından zorluklar çok büyük olurdu, fakat belki aşılması imkânsız değildir. IPFS buna yakın, ama yine seed merkezli yapıya daha yakın
Buna benzer bir şey bilen varsa duymak isterim
Kripto para zaten şeytanlaştırılmamış olsaydı, seed etmeye dayalı bir kripto para gibi teşvikler harika olabilirdi
Sadece birkaç kişinin umursadığı filmleri ya da kitapları barındırmak için para ve bant genişliği harcamak isteyen kimse yok
wget veya curl kullanmak dışında, IA'dan kullanılabilir durumdaki eksiksiz bir web sitesini indirmek için ipucu var mı?
Veri ihlaliyle ilgili ek bilgi burada. Çalınan veritabanında 31 milyon kayıt var
https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/
Az önce baktım, site şöyle bir uyarı gösteriyor:
“Internet Archive'ın çubuklarla ayakta durduğunu ve her an felaket boyutunda bir güvenlik ihlali yaşayacak gibi göründüğünü hiç hissettiniz mi? Az önce oldu. HIBP'de 31 milyonunuzu göreceğiz!”
Samimi ya da mizah denemesi yapan hata mesajlarını ayırt etmek bazen zor olabiliyor
Birinin Polyfill için kullanılan bir alt alan adını ele geçirmiş gibi görünüyor
Güncelleme: Şu anda alt alan adı tekrar normal yanıt döndürüyor gibi
Böyle bir şakayı yapan kişi için lanetlerin gerçekten işe yaramasını istediğiniz anlardan biri
“Sen ve soyun, kötülüğünüzün cezası olarak 10 bin gece boyunca 10 bin pire tarafından ısırılasınız”
Şimdi söylemek için iyi bir zaman olmayabilir ama içinde öğeler bulunan koleksiyonlara göz atıp kullanıcı adlarıyla birlikte tüm e-postaları almak şaşırtıcı derecede kolay
https://archive.org/metadata/naturally_a_girl/metadata
Bir şekilde kullanıcı adlarına bağlı e-postaları toplu halde toplayan biri eninde sonunda çıkacaktı
Hacker’ın veritabanını nasıl ihlal edip parolaları nasıl ele geçirdiğini biraz merak ediyorum
Açıkçası tasarım kusuru gibi görünüyor
https://github.com/internetarchive/iaux/issues/892
Neden özellikle Internet Archive hedef alınır ki? Başka bir şeyi hedef alın, lanet arşive dokunmayın
Bu başlık, bu olayın kayda geçtiği ilk yerlerden biri olacak gibi. Google’da en üstlerde görünüyor sanırım
Sırf bu yüzden yeni açılmış iki hesap bile var
Yıllardır IA hesabımı Gmail adresimle kullanıyordum ve 9 ay önce e-postamı kendi alan adımla oluşturduğum maskelenmiş bir adrese değiştirdim
Ama şimdi bakınca Gmail adresimin hâlâ saklandığını ve sızıntıya dahil olduğunu gördüm. Neden acaba?
Değişiklik geçmişini saklayabilmelerini anlıyorum ama neden tutmaları gerekiyor ki?
Mevcut hesap bilgilerimde parolayı parola yöneticisinin ürettiği başka bir rastgele dizgeyle değiştirdim; maskelenmiş e-posta adresini de silip yeniden oluşturdum
Bundan sonra böyle bir şey benim için büyük sorun olmayacak
HaveIBeenPwned’da ilk kontrol ettiğim şey ilk e-postamdı ama bu sızıntıda çıkmadı
IA’ya özel e-posta ve parola kullandığım diğer birkaç hesabın hepsi bu sızıntıda düzgün şekilde görünüyor
Neden böyle olduğunu açıklayamam ama ben de hemen aynı şeyi düşündüm ve ters yönde bir örnek de bırakmak istedim