Internet Archive es una biblioteca digital sin fines de lucro creada en San Francisco (Estados Unidos), en 1996. Contiene "millones de textos, películas, 'software', música y páginas web" y se puede acceder a ella de forma gratuita. Esta también dispone de una herramienta que permite acceder a sitios web desaparecidos, Wayback Machine.
En la tarde de este miércoles, usuarios de www.archive.org advirtieron que el sitio presentaba una notificación emergente de JavaScript (JS) en el que se indicaba que había sufrido una brecha de seguridad.
"¿Alguna vez has sentido que Internet Archive se sostiene sobre palos y está constantemente al borde de sufrir una brecha de seguridad catastrófica? Acaba de suceder. ¡Mira a 31 millones de usuarios de HIBP!", apuntaba esta alerta, tal y como recogen medios como The Verge.
Dichas siglas, HIBP, pertenecen a la web Have I Been Pwned?, en la que los usuarios pueden introducir su dirección de correo electrónico manualmente para cotejar en su base de datos si alguna de sus cuentas de Internet asociadas ha sido víctima de una brecha de seguridad. En ella se informa qué datos se exponen y cuándo se produjo la vulneración.
El creador de este sitio web, Troy Hunt, adelantó a Bleeping Computer que el actor de amenazas le había compartido un archivo SQL de 6,4 GB denominado 'ia_users.sql' unos días antes de la publicación de esta alerta. Este contenía una base de datos con información de autenticación de los miembros registrados, incluidas sus direcciones de correo electrónico, nombres de usuario, contraseñas con 'hash' o encriptadas Bcrypt y otros datos.
El también investigador de ciberseguridad ha confirmado que existen 31 millones de direcciones de correo electrónico en esta base de datos y que muchas de ellas son suscriptoras del servicio de notificación de vulnerabilidades de HIBP. Con ello, ha indicado que todas estas direcciones se añadirán "en breve" a la página web para que todos los usuarios afectados puedan confirmar si sus datos han quedado expuestos en esta filtración.
Asimismo, Hunt aseguró que los datos filtrados por el actor malicioso eran reales tras contactar con algunos de los usuarios enumerados en esta base de datos. Entre ellos, estaba incluido el investigador de ciberseguridad Scott Helme, que confirmó que la contraseña Bcrypt registrada en la filtración coincidía con la almacenada en su administrador de credenciales.
Hunt, por tanto, se puso en contacto con Internet Archive para notificarle lo sucedido el pasado 6 de octubre y confirmó a Bleeping Computer que cargaría las direcciones de las cuentas comprometidas en Have I Been Pwned? en un plazo de 72 horas, aunque no ha tenido respuesta por parte de esta biblioteca digital. Por el momento, se desconoce cómo actuaron los ciberdelincuentes e interrumpieron su servicio y si robaron otros datos.
Por su parte, el fundador de Internet Archive, Brewster Kahle, no ha hecho referencia a las supuestas cuentas vulneradas, aunque sí confirmó el martes a través de su cuenta de X que la web había sufrido un ataque DDoS -por el que los actores maliciosos dirigen mucho tráfico hasta saturar la capacidad y dejar sin servicio la página atacada-.
El miércoles, Kahle señaló que este ataque había repetido y que estaban trabajando por restablecer el servicio. Tras avanzar que el ataque se había "repelido", dijo que había resultado en la desconfiguración de su sitio web a través de la biblioteca JavaScript, la filtración de nombres de usuario, correo electrónico y contraseñas.
En base a esta información y para neutralizar esta campaña maliciosa, ha optado por deshabilitar la biblioteca JS, limpiar los sistemas y lanzar actualizaciones de seguridad, según ha indicado el directivo en X.
El grupo hacktivista BlackMeta, también conocido como DarkMeta, se ha atribuido el ataque y ha indicado que ha estado lanzando "varios ataques de gran éxito" durante horas, gracias a lo cual ha logrado tumbar "todos sus sistemas".
Kahle ha ratificado esta caída recientemente y ha pedido disculpas por el apagón de archive.org y openlibrary.org, que actualmente están fuera de línea. No obstante, no ha señalado a BlackMeta como autora del ataque. "Internet Archive está siendo cauteloso y priorizando la seguridad de los datos a expernsas de la disponibilidad del servicio", ha apuntado.
Conviene recordar que esta biblioteca digital y su herramienta Wayback Machine ya fueron víctimas de otro ataque DDoS con "decenas de miles de solicitudes de información falsa" durante días, que resultó en varias interrupciones de su servicio, aunque no se vieron afectadas las colecciones de archivos.