Have I Been Pwned(HIBP)网站
网际网路档案馆(Internet Archive,IA)周三(10/9)遭到骇客入侵,骇客涂改了该平台的首页,宣称其安全性弱不禁风,而且已与Have I Been Pwned(HIBP)分享了所盗走的逾3,100万笔帐号。
1996年成立的IA为一非营利组织,定位为数位图书馆,宗旨为让所有的知识普遍化,于是该站搜集了各式各样的数位内容,包括网页、软体、游戏、音乐、影片及数百万本图书,最有名的工具之一是「时光机」(Wayback Machine),允许人们存取特定时间、或许已经消失的网页。
当天存取IA的使用者会看到一个视窗,宣称该站已遭骇客挟持,并说Internet Archive其实是在许多棍棒上运作,一直处于遭到灾难性安全漏洞的边缘,而且事情已经发生了,看看在HIBP上的3,100万笔用户资料。
IA创办人Brewster Kahle证实了此事,指出Internet Archive遭到分散式服务阻断(DDoS)攻击,骇客还借由JS函式库玷污该站,外泄了使用者名称、电子邮件,以及加盐的加密密码。该平台紧急关闭JS函式库,全面清理系统,同时升级安全机制以作因应。
另一方面,HIBP的确已经出现了源自Internet Archive的外泄资料库。
HIBP创办人Troy Hunt解释,其实他早在9月30日就收到IA的外泄资料库,只是当时他在旅行,没有注意到此事的严重性,一直到10月6日才通知IA,双方并协议要在10月9日对外揭露,结果当天IA刚好又遭到骇客入侵,种种迹象显示IA不只遭到一次攻击。
使用者只要在HIBP网站上输入自己的电子邮件,就能知道自己的邮件信箱是否曾经出现在哪些资料外泄事件中。
代号为SN_Blackmeta的骇客组织宣称他们是此一攻击的幕后黑手,还说在数小时内连续发动几波成功的攻击,导致Internet Archive的所有系统都当机。