Une fenêtre contextuelle JavaScript illicite sur Internet Archive a proclamé mercredi après-midi que le site avait subi une violation majeure de données. Quelques heures plus tard, l'organisation a confirmé l'incident.
Troy Hunt, chercheur en sécurité de longue date et responsable du site Web de notification des violations de données Have I Been Pwned (HIBP), a également confirmé que la violation était légitime. Il a déclaré que cela s'était produit en septembre et que le trésor volé contenait 31 millions d'adresses e-mail uniques ainsi que des noms d'utilisateur, des hachages de mots de passe bcrypt et d'autres données système. Bleeping Computer, qui a été le premier à signaler la violation, a également confirmé la validité des données.
Internet Archive n'a pas renvoyé plusieurs demandes de commentaires de WIRED.
« Avez-vous déjà eu l'impression qu'Internet Archive fonctionne sur des clés USB et est constamment sur le point de subir une faille de sécurité catastrophique ? » ont écrit les attaquants dans le message contextuel Internet Archive de mercredi. « C’est juste arrivé. Voyez-vous 31 millions d’entre vous sur HIBP ! »
En plus de la violation et de la dégradation du site, Internet Archive est aux prises avec une vague d'attaques par déni de service distribué qui ont interrompu ses services par intermittence.
Le fondateur d'Internet Archive, Brewster Kahle, a fait le point mercredi soir dans un message sur le réseau social X. « Ce que nous savons : l'attaque DDOS – repoussée pour l'instant ; dégradation de notre site Web via la bibliothèque JS ; violation des noms d'utilisateur/e-mail/mots de passe cryptés avec sel. Ce que nous avons fait : Désactivation de la bibliothèque JS, nettoyage des systèmes, mise à niveau de la sécurité. Je partagerai davantage tel que nous le connaissons. Les « systèmes de nettoyage » font référence à des services qui offrent une protection contre les attaques DDoS en filtrant le trafic indésirable malveillant afin qu'il ne puisse pas inonder et perturber un site Web.
Internet Archive a été confronté à de nombreuses attaques DDoS agressives dans le passé, notamment fin mai. Comme Kahle l'a écrit mercredi : « L'attaque DDoS d'hier contre @internetarchive s'est répétée aujourd'hui. Nous travaillons pour remettre http://archive.org en ligne. Le groupe hacktiviste connu sous le nom de BlackMeta a revendiqué la responsabilité des attaques DDoS de cette semaine et a déclaré qu'il prévoyait d'en mener davantage contre Internet Archive. Toutefois, l’auteur de la violation de données n’est pas encore connu.
Internet Archive a été confronté à des batailles sur de nombreux fronts ces derniers mois. Outre les attaques DDoS répétées, l’organisation est également confrontée à des défis juridiques croissants. Elle a récemment perdu un appel en Hachette c. Internet Archiveun procès intenté par des éditeurs de livres, qui affirmaient que leur bibliothèque de prêt numérique violait la loi sur le droit d'auteur. Aujourd'hui, l'entreprise fait face à une menace existentielle sous la forme d'un autre procès en matière de droits d'auteur, celui-ci intenté par des labels de musique, qui pourrait entraîner des dommages pouvant atteindre 621 millions de dollars si le tribunal se prononçait contre les archives.
Hunt de HIBP dit qu'il a reçu pour la première fois les données volées d'Internet Archive le 30 septembre, les a examinées le 5 octobre et en a averti l'organisation le 6 octobre. Il dit que le groupe lui a confirmé la violation le lendemain et qu'il prévoyait de charger les données dans HIBP et informera ses abonnés de la violation mercredi. “Ils sont dégradés et victimes de DDoS, juste au moment où les données sont chargées dans HIBP”, a écrit Hunt. “Le timing sur ce dernier point semble être entièrement une coïncidence.”
Hunt a également ajouté que même s'il a encouragé le groupe à divulguer publiquement la violation de données avant l'envoi des notifications HIBP, les circonstances atténuantes peuvent expliquer le retard.
“Évidemment, j'aurais aimé voir cette divulgation beaucoup plus tôt, mais comprenant à quel point ils sont attaqués, je pense que tout le monde devrait leur laisser un peu de répit”, a écrit Hunt. “Il s'agit d'une organisation à but non lucratif qui fait un excellent travail et fournit un service sur lequel beaucoup d'entre nous comptent énormément.”