Internet Archive a subi une violation de données, entraînant la compromission des adresses e-mail, des noms d’écran et des hachages de mots de passe bcrypt de quelque 31 millions d’utilisateurs.
La compromission a été révélée mercredi après-midi, lorsque le site Web de la bibliothèque numérique a commencé à afficher une fenêtre contextuelle JavaScript disant : « Avez-vous déjà eu l’impression qu’Internet Archive fonctionne sur des clés USB et est constamment sur le point de subir une faille de sécurité catastrophique ? C’est juste arrivé. Voyez-vous 31 millions d’entre vous sur HIBP ! »
À peu près au même moment, les données en question étaient chargées dans le fichier Have I Been Pwned ? service de notification des violations de données et, peu de temps après, les utilisateurs HIBP qui s’étaient inscrits pour recevoir des notifications lorsque leurs données étaient divulguées ont commencé à recevoir des notifications par e-mail :
Notification par e-mail HIBP
Malheureusement, pour beaucoup, changer le mot de passe compromis n’a pas été possible dans l’immédiat, car le site Web Internet Archive a été rendu inaccessible après avoir apparemment cédé sous la pression d’une attaque DDoS revendiquée par des hacktivistes déclarés.
Ce qui s’est passé? Et comment ?
Internet Archive est une organisation à but non lucratif qui offre un accès gratuit aux documents numérisés – documents imprimés et audiovisuels, musique, podcasts, livres audio, images, logiciels – ainsi qu’à la Wayback Machine, une collection massive de copies archivées de pages Web.
L’organisation a récemment perdu un procès en matière de droits d’auteur intenté par la maison d’édition Hachette et est toujours impliquée dans un autre procès intenté par plusieurs labels de musique.
Le site Web de l’organisation a subi un certain nombre d’attaques DDoS en mai 2024, et maintenant encore :
Ce que nous savons : attaque DDOS – repoussée pour l’instant ; dégradation de notre site Web via la bibliothèque JS ; violation des noms d’utilisateur/e-mail/mots de passe cryptés avec sel.
Ce que nous avons fait : Désactivation de la bibliothèque JS, nettoyage des systèmes, mise à niveau de la sécurité.
Je partagerai davantage tel que nous le connaissons.
– Brewster Kahle (@brewster_kahle) 10 octobre 2024
Il n’est toujours pas clair si la violation de données et les attaques DDoS ont été perpétrées par la même personne/groupe. On ne sait pas non plus comment la violation de données et la compromission du site Web se sont produites.
Le créateur de HIBP, Troy Hunt, a expliqué que quelqu’un lui avait envoyé les données compromises lors de la violation le 30 septembre, mais qu’il n’avait pu les examiner que le 5 octobre. Il a informé Internet Archive et leur a dit qu’elles seraient chargées dans HIBP mercredi ( 9 octobre). Le chevauchement entre le chargement et l’attaque DDoS était une coïncidence, a-t-il noté.
« Évidemment, j’aurais aimé voir cette divulgation beaucoup plus tôt, mais comprenant à quel point ils sont attaqués, je pense que tout le monde devrait leur laisser un peu de répit. Il s’agit d’une organisation à but non lucratif qui fait un excellent travail et fournit un service sur lequel beaucoup d’entre nous comptent énormément », a-t-il ajouté.
Le site Internet Archive est désormais de nouveau en ligne et il est conseillé aux utilisateurs enregistrés de modifier leur mot de passe.
