El 9 de octubre de 2024, los usuarios que ingresaron al sitio web de Internet Archive se encontraron con un mensaje emergente que informaba que el sitio había sido víctima de un ataque. La notificación decía lo siguiente:
¿Alguna vez has tenido la sensación de que Internet Archive opera al límite, como si estuviera a punto de sufrir una gran brecha de seguridad? Bueno, acaba de suceder. ¡31 millones de ustedes ahora están en HIBP!
we.archive.org
«HIBP» se refiere al servicio de notificación de violaciones de datos Have I Been Pwned, creado por Troy Hunt, donde los actores malintencionados suelen compartir datos robados para agregarlos al servicio.
Hunt explicó que, hace nueve días, un actor de amenazas compartió una base de datos de autenticación de Internet Archive. Este archivo SQL de 6.4 GB, denominado «ia_users.sql», contiene información de autenticación de los miembros registrados, incluidas direcciones de correo electrónico, nombres de usuario, marcas de tiempo de cambios de contraseña, contraseñas con hash Bcrypt y otros datos internos.
La marca de tiempo más reciente en los registros robados es del 28 de septiembre de 2024, lo que sugiere que la base de datos fue sustraída en esa fecha.
Hunt señaló que la base de datos contiene 31 millones de direcciones de correo electrónico únicas, muchas de las cuales ya están suscritas a HIBP. Estos datos se agregarán próximamente al servicio, permitiendo a los usuarios ingresar su correo electrónico para verificar si fueron afectados por esta violación de seguridad.
La respuesta
En respuesta al ataque, Internet Archive suspendió temporalmente sus servicios. Brewster Kahle, fundador de la organización, informó en X que deshabilitaron la biblioteca JavaScript comprometida utilizada en el ataque y que están trabajando para mejorar sus medidas de seguridad.
Actualmente, Internet Archive está realizando una limpieza de sus sistemas para prevenir futuros incidentes.
Además de la filtración de datos, la plataforma también fue objeto de ataques DDoS. Una cuenta llamada SN_Blackmeta se atribuyó la responsabilidad de estos ataques y advirtió sobre otro inminente, que posteriormente se confirmó, según Kahle. Esta misma cuenta también se había adjudicado los ataques DDoS ocurridos en mayo de este año.
Recomiendo encarecidamente a los usuarios de Internet Archive que cambien sus contraseñas y monitoreen sus cuentas para detectar cualquier actividad sospechosa.