1 पॉइंट द्वारा GN⁺ 2024-10-10 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Internet Archive विज़िटर्स को साइट पर छेड़छाड़ किया गया popup दिखाया गया और DDoS attack भी जारी रहा, जिसके बीच 3.1 करोड़ अकाउंट जानकारी उजागर होने की चेतावनी सार्वजनिक की गई
  • संस्थापक Brewster Kahle ने 9PM ET के तुरंत बाद breach की पुष्टि की और बताया कि यह अलर्ट एक JavaScript library के ज़रिए वेबसाइट में inject किया गया था
  • Have I Been Pwned के संचालक Troy Hunt ने बताया कि उन्हें 9 दिन पहले मिली फ़ाइल में 3.1 करोड़ unique email addresses थे, और उन्होंने इन्हें user account data से मिलान करके verify किया
  • लीक हुई फ़ाइल में email address, screen name, password change timestamp, Bcrypt hashed passwords, और अन्य internal data शामिल थे; इनमें से 54% अकाउंट पहले के breach के कारण पहले से ही HIBP में मौजूद थे
  • popup बंद करने पर साइट धीमी लोड हो रही थी, लेकिन 5:30PM ET तक popup गायब हो गया और उसकी जगह साइट खाली दिखी या केवल अस्थायी offline notice दिखाई दिया

साइट में छेड़छाड़ और breach की पुष्टि

  • बुधवार दोपहर Internet Archive पर जाने पर साइट हैक होने की सूचना देने वाला popup message दिखाई दिया
  • popup में लिखा था कि Internet Archive “ऐसा लग रहा है जैसे डंडे के सहारे चल रहा हो और catastrophic security breach के कगार पर हो” और साथ में “31 million of you on HIBP” का संदेश भी था
  • 9PM ET के तुरंत बाद Internet Archive के संस्थापक Brewster Kahle ने breach की पुष्टि की और कहा कि वेबसाइट को JavaScript library के माध्यम से इस अलर्ट के साथ modify किया गया था

HIBP को भेजा गया अकाउंट डेटा

  • HIBP का मतलब Have I Been Pwned है, यह एक सेवा है जहाँ यूज़र यह जांच सकते हैं कि cyberattack में लीक हुए डेटा में उनकी जानकारी शामिल है या नहीं
  • HIBP के संचालक Troy Hunt ने BleepingComputer को पुष्टि की कि उन्हें 9 दिन पहले 3.1 करोड़ unique email addresses वाली एक फ़ाइल मिली थी
  • फ़ाइल में निम्न जानकारी शामिल थी
    • email address
    • screen name
    • password change timestamp
    • Bcrypt hashed passwords

      • अन्य internal data
      • Hunt ने इस डेटा को user accounts से मिलान करके verify किया

disclosure प्रक्रिया और DDoS का एक साथ होना

  • HIBP की post के अनुसार लीक हुए अकाउंट्स में से 54% पहले के breach के कारण पहले से HIBP database में मौजूद थे
  • Troy Hunt ने अपने account पर disclosure timeline भी साझा की
    • 6 अक्टूबर को Internet Archive को breach की सूचना दी
    • disclosure प्रक्रिया आगे बढ़ाई
    • HIBP में डेटा लोड करके प्रभावित यूज़र्स को alert भेजने की तैयारी के दौरान साइट में छेड़छाड़ और DDoS एक साथ हुए

साइट एक्सेस की स्थिति में बदलाव

  • popup बंद करने के बाद साइट सामान्य रूप से लोड हुई, लेकिन धीमी चल रही थी
  • 5:30PM ET तक popup गायब हो चुका था, लेकिन साइट भी साथ में गायब जैसी स्थिति में थी
  • विज़िटर्स को या तो कुछ भी दिखाई नहीं दे रहा था, या “Internet Archive services are temporarily offline” का अस्थायी offline notice दिख रहा था, और उन्हें Internet Archive के account की ओर निर्देशित किया गया

1 टिप्पणियां

 
GN⁺ 2024-10-10
Hacker News राय
  • privacy के नज़रिए से देखें तो यह भी अहम है कि जिस किसी ने IA पर कभी कुछ upload किया है, उसका email address public metadata में पहले से exposed है
    यह आम तौर पर ज्ञात तथ्य नहीं है, लेकिन public रूप से देखे जा सकने वाले हर upload metadata में uploader के IA account का email शामिल होता है
    security के लिहाज़ से भी यह खराब है, और संभव है कि upload करने का अनुभव रखने वाले कई users को यह detail पता ही न हो

    • एक दिलचस्प सवाल उठता है: क्या email address private होना चाहिए? building address private नहीं होते, और कई computing concepts की तरह इसे कुछ हद तक मिलता-जुलता माना जा सकता है
      spam filters बेहतर होने से पहले address harvesting रोकने के लिए हल्की obfuscation करना आम था, लेकिन लगता है वह दौर गुजर चुका है, और यह privacy से अलग मुद्दा भी है
      अगर कोई upload के बाद बिल्कुल भी trace नहीं होना चाहता, तो उसे वैसे भी disposable address इस्तेमाल करना चाहिए
      अगर आपने service administrator को “private” address दिया और आगे public करने पर स्पष्ट रोक नहीं लगाई, तो इसे कुछ वैसा माना जा सकता है जैसे Alice से कही बात Bob को न बताने की मांग आपने की ही नहीं
    • सिर्फ uploads ही नहीं, email address को unique user identifier के तौर पर इस्तेमाल करने वाली हर चीज़ पर यह लागू होता है
      upload के XML के अलावा profile में भी email address होता है, और कोई भी URL को https://archive.org/details/@foobar से https://archive.org/download/foobar में बदलकर access कर सकता है
      यानी upload किया हो या नहीं, सिर्फ registered account होने भर से exposure हो सकता है
      https://help.archive.org/help/accounts-a-basic-guide-2/
    • इतना ही अपने-आप में काफी खराब है। यह खुद एक privacy bug और data leak है
      सैद्धांतिक रूप से कोई pages scrape करके exposed email addresses की list बना सकता है
    • एक समाधान यह है कि हर site के लिए unique email address इस्तेमाल किया जाए, और site compromise होने पर उस address को बदलकर पुराने address को spam filter में डाल दिया जाए
  • मैंने एक पुराने दोस्त की website Internet Archive से download करके फिर से upload की
    वह अब इस दुनिया में नहीं है, लेकिन खुशी है कि मैं उस site को फिर से जिंदा कर पाया
    अगर IA हमेशा के लिए गायब हो जाए तो दुख होगा, लेकिन किसी भी हालत में हमें decentralized solution चाहिए
    हमारी collective विरासत को एक विशाल संगठन द्वारा manage किया जाना अच्छा विचार नहीं है

    • मैं हमेशा से ऐसा सोचता रहा हूं। internet से जुड़े devices पर users से थोड़े-थोड़े redundant data chunks store करवाना दिलचस्प हो सकता है
      यह torrents से बहुत मिलता-जुलता होगा, लेकिन पूरे copy वाले seeds के बजाय ज्यादा peers और ज्यादा data chunks रखने वाला तरीका होगा
      सबके लिए एक विशाल database बनाए रखना, स्वाभाविक रूप से उसे open source बनाना, और Tor की तरह security patches से network की मदद करना, लेकिन पूरे network पर असली “admin dashboard-style control” न होना—ऐसा model हो सकता है
      website static file caching के रूप में इससे छोटी scale पर मिलता-जुलता काम हम पहले से कर रहे हैं, लेकिन वह बहुत छोटे स्तर पर है
      security चुनौतियां बहुत बड़ी होंगी, लेकिन शायद असंभव नहीं। IPFS इसके करीब है, मगर वह फिर भी seed-centric जैसा है
      अगर कोई ऐसी किसी चीज़ के बारे में जानता हो तो सुनना चाहूंगा
    • इसी वजह से BitTorrent और दूसरी P2P solutions invent हुईं, लेकिन हकीकत यह है: RIAA, MPAA, ESA ने इन technologies को बेहद खराब reputation दे दी, और कोई भी seeding बनाए रखना पसंद नहीं करता
      अगर cryptocurrency पहले से demonize नहीं हुई होती, तो seeding-based cryptocurrency जैसा incentive शानदार हो सकता था
    • वही तो torrent protocol है, और वह ठीक से काम नहीं करता
      जिन movies या books की परवाह सिर्फ कुछ लोगों को है, उन्हें host करने पर कोई पैसा और bandwidth खर्च नहीं करना चाहता
    • पुरानी sites के लिए मैं ऐसा कुछ करते रहना चाहता हूं। यह personal mini IA जैसा होगा
      wget या curl इस्तेमाल करने के अलावा, IA से usable complete website download करने के कोई tips हैं?
    • खासकर अगर organization पहले ही दिखा चुकी हो कि वह हमेशा fair नहीं है, तो उसे सब कुछ एक जगह सौंपना बिल्कुल नहीं चाहिए
  • data breach के बारे में अतिरिक्त जानकारी यहां है। चोरी हुए database में 3.1 करोड़ records हैं
    https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/

    • कहा जाता है कि attackers चोरी किया हुआ data अक्सर Troy Hunt द्वारा बनाए गए Have I Been Pwned के साथ share करते हैं, क्या वाकई ऐसा है? क्यों?
    • कहा जा रहा है कि यह जल्द ही HIBP में add होगा, लेकिन archive.org के लिए बनाया मेरा email address अभी तक नहीं दिख रहा
    • मुझे curiosity यह है कि Scott Helme को अपने नाम वाला password hash कैसे मिला
    • यह एक friendly reminder है कि हर account के लिए unique password generate करें, ताकि इस तरह के database leak होने पर उस site के बाहर problem न बने
  • अभी देखा कि site यह warning दिखा रही है:
    “क्या आपको कभी लगा है कि Internet Archive डंडों के सहारे चल रहा है और किसी भी समय catastrophic security breach झेल सकता है? अभी वही हुआ। HIBP पर आप 3.1 करोड़ लोगों से मिलते हैं!”

    • मजेदार बात यह है कि मैं तो पहले ही HIBP में अनगिनत बार आ चुका हूं
    • अगर कोई malicious actor हो, तो क्या मानें कि account email और name leak हो गए हैं?
    • समझ नहीं आ रहा कि यह असली warning है या hack का निशान
      friendly या humor try करने वाले error messages को कभी-कभी पहचानना मुश्किल होता है
  • लगता है किसी ने Polyfill के subdomain में से एक को compromise किया है
    update: अभी लगता है subdomain फिर से normal response return कर रहा है

    • मतलब IA ने किसी subdomain से JavaScript polyfill include किया था, और वही compromise हुआ या warning आने का रास्ता बना?
    • इससे कुछ हद तक समझाया जा सकता है कि JavaScript warning popup कैसे inject किया गया
  • यह ऐसा पल है जब मन करता है कि ऐसी हरकत करने वाले पर सचमुच श्राप काम कर जाए
    “तुम्हें और तुम्हारी संतानों को तुम्हारे कुकर्मों की सजा में 10,000 रातों तक 10,000 पिस्सू काटें”

  • अभी कहने का शायद सही समय नहीं है, लेकिन जिन collections में items हैं उन्हें देखते हुए username के साथ सभी emails निकालना हैरान करने वाली हद तक आसान है
    https://archive.org/metadata/naturally_a_girl/metadata
    किसी न किसी तरीके से username से जुड़ी emails को बड़े पैमाने पर निकालने वाला कोई न कोई आखिरकार आ ही जाता
    थोड़ा जिज्ञासु हूं कि hacker ने database में सेंध कैसे लगाई और passwords कैसे हासिल किए

    • मुझे इस बारे में बिल्कुल पता नहीं था। अगर पता होता कि email public है, तो मैं यकीनन कुछ चीज़ें अलग तरह से करता
      ईमानदारी से कहूं तो यह design flaw जैसा लगता है
    • सही, email से जुड़ी चिंताओं को लगातार नज़रअंदाज़ किया जाता रहा है
      https://github.com/internetarchive/iaux/issues/892
  • आखिर Internet Archive को ही क्यों निशाना बनाना। कुछ और target करो, उस धिक्कार आर्काइव को मत छुओ

    • हमें किसी तरह का distributed archive चाहिए, जिस तक हर कोई आसानी से पहुंच सके
  • लगता है यह thread इस घटना के record होने वाली पहली जगहों में से एक होगा। Google में सबसे ऊपर दिखता लग रहा है
    इस वजह से पहले ही दो नए accounts बने हुए हैं

    • दो से ज्यादा दिख रहे हैं
    • इधर-उधर खोजा, लेकिन कहीं भी कोई जिक्र नहीं मिला, तब समझ आया कि यह अभी-अभी हुआ है
  • कई सालों तक IA account के लिए Gmail address इस्तेमाल किया, और 9 महीने पहले email को अपने domain से बने masking address में बदल दिया
    लेकिन अब देख रहा हूं कि मेरा Gmail address अब भी stored था और leak में शामिल हो गया। ऐसा क्यों?
    यह समझ आता है कि change history store की जा सकती है, लेकिन उसे संभालकर रखना क्यों ज़रूरी है?
    मौजूदा account info में password को password manager द्वारा generate की गई एक अलग random string में बदल दिया है, और masking email address भी delete करके नया बना लिया है
    आगे चलकर यह मेरे लिए बड़ी समस्या नहीं होगी

    • मेरी भी कुछ ऐसी ही स्थिति थी। शुरू में main account से signup किया था, फिर बाद में IA email को ज्यादा private address में बदल दिया
      HaveIBeenPwned पर सबसे पहले मैंने पहला email check किया था, लेकिन वह इस breach में नहीं दिखा
      IA-only email और password इस्तेमाल करने वाले कुछ दूसरे accounts सभी इस leak में सही तरीके से दिख रहे हैं
      यह क्यों हुआ, समझा नहीं सकता, लेकिन मेरे मन में भी यही ख्याल आया था और मैं एक उलटा उदाहरण भी छोड़ना चाहता था
    • breach शायद report किए गए समय से पहले हुआ था, या संभव है कि वह ज्यादा लंबे समय तक चलता रहा हो