- Internet Archive विज़िटर्स को साइट पर छेड़छाड़ किया गया popup दिखाया गया और DDoS attack भी जारी रहा, जिसके बीच 3.1 करोड़ अकाउंट जानकारी उजागर होने की चेतावनी सार्वजनिक की गई
- संस्थापक Brewster Kahle ने 9PM ET के तुरंत बाद breach की पुष्टि की और बताया कि यह अलर्ट एक JavaScript library के ज़रिए वेबसाइट में inject किया गया था
- Have I Been Pwned के संचालक Troy Hunt ने बताया कि उन्हें 9 दिन पहले मिली फ़ाइल में 3.1 करोड़ unique email addresses थे, और उन्होंने इन्हें user account data से मिलान करके verify किया
- लीक हुई फ़ाइल में email address, screen name, password change timestamp, Bcrypt hashed passwords, और अन्य internal data शामिल थे; इनमें से 54% अकाउंट पहले के breach के कारण पहले से ही HIBP में मौजूद थे
- popup बंद करने पर साइट धीमी लोड हो रही थी, लेकिन 5:30PM ET तक popup गायब हो गया और उसकी जगह साइट खाली दिखी या केवल अस्थायी offline notice दिखाई दिया
साइट में छेड़छाड़ और breach की पुष्टि
- बुधवार दोपहर Internet Archive पर जाने पर साइट हैक होने की सूचना देने वाला popup message दिखाई दिया
- popup में लिखा था कि Internet Archive “ऐसा लग रहा है जैसे डंडे के सहारे चल रहा हो और catastrophic security breach के कगार पर हो” और साथ में “31 million of you on HIBP” का संदेश भी था
- 9PM ET के तुरंत बाद Internet Archive के संस्थापक Brewster Kahle ने breach की पुष्टि की और कहा कि वेबसाइट को JavaScript library के माध्यम से इस अलर्ट के साथ modify किया गया था
HIBP को भेजा गया अकाउंट डेटा
- HIBP का मतलब Have I Been Pwned है, यह एक सेवा है जहाँ यूज़र यह जांच सकते हैं कि cyberattack में लीक हुए डेटा में उनकी जानकारी शामिल है या नहीं
- HIBP के संचालक Troy Hunt ने BleepingComputer को पुष्टि की कि उन्हें 9 दिन पहले 3.1 करोड़ unique email addresses वाली एक फ़ाइल मिली थी
- फ़ाइल में निम्न जानकारी शामिल थी
- email address
- screen name
- password change timestamp
-
Bcrypt hashed passwords
- अन्य internal data
- Hunt ने इस डेटा को user accounts से मिलान करके verify किया
disclosure प्रक्रिया और DDoS का एक साथ होना
- HIBP की post के अनुसार लीक हुए अकाउंट्स में से 54% पहले के breach के कारण पहले से HIBP database में मौजूद थे
- Troy Hunt ने अपने account पर disclosure timeline भी साझा की
- 6 अक्टूबर को Internet Archive को breach की सूचना दी
- disclosure प्रक्रिया आगे बढ़ाई
- HIBP में डेटा लोड करके प्रभावित यूज़र्स को alert भेजने की तैयारी के दौरान साइट में छेड़छाड़ और DDoS एक साथ हुए
साइट एक्सेस की स्थिति में बदलाव
- popup बंद करने के बाद साइट सामान्य रूप से लोड हुई, लेकिन धीमी चल रही थी
- 5:30PM ET तक popup गायब हो चुका था, लेकिन साइट भी साथ में गायब जैसी स्थिति में थी
- विज़िटर्स को या तो कुछ भी दिखाई नहीं दे रहा था, या “Internet Archive services are temporarily offline” का अस्थायी offline notice दिख रहा था, और उन्हें Internet Archive के account की ओर निर्देशित किया गया
1 टिप्पणियां
Hacker News राय
privacy के नज़रिए से देखें तो यह भी अहम है कि जिस किसी ने IA पर कभी कुछ upload किया है, उसका email address public metadata में पहले से exposed है
यह आम तौर पर ज्ञात तथ्य नहीं है, लेकिन public रूप से देखे जा सकने वाले हर upload metadata में uploader के IA account का email शामिल होता है
security के लिहाज़ से भी यह खराब है, और संभव है कि upload करने का अनुभव रखने वाले कई users को यह detail पता ही न हो
spam filters बेहतर होने से पहले address harvesting रोकने के लिए हल्की obfuscation करना आम था, लेकिन लगता है वह दौर गुजर चुका है, और यह privacy से अलग मुद्दा भी है
अगर कोई upload के बाद बिल्कुल भी trace नहीं होना चाहता, तो उसे वैसे भी disposable address इस्तेमाल करना चाहिए
अगर आपने service administrator को “private” address दिया और आगे public करने पर स्पष्ट रोक नहीं लगाई, तो इसे कुछ वैसा माना जा सकता है जैसे Alice से कही बात Bob को न बताने की मांग आपने की ही नहीं
upload के XML के अलावा profile में भी email address होता है, और कोई भी URL को https://archive.org/details/@foobar से https://archive.org/download/foobar में बदलकर access कर सकता है
यानी upload किया हो या नहीं, सिर्फ registered account होने भर से exposure हो सकता है
https://help.archive.org/help/accounts-a-basic-guide-2/
सैद्धांतिक रूप से कोई pages scrape करके exposed email addresses की list बना सकता है
मैंने एक पुराने दोस्त की website Internet Archive से download करके फिर से upload की
वह अब इस दुनिया में नहीं है, लेकिन खुशी है कि मैं उस site को फिर से जिंदा कर पाया
अगर IA हमेशा के लिए गायब हो जाए तो दुख होगा, लेकिन किसी भी हालत में हमें decentralized solution चाहिए
हमारी collective विरासत को एक विशाल संगठन द्वारा manage किया जाना अच्छा विचार नहीं है
यह torrents से बहुत मिलता-जुलता होगा, लेकिन पूरे copy वाले seeds के बजाय ज्यादा peers और ज्यादा data chunks रखने वाला तरीका होगा
सबके लिए एक विशाल database बनाए रखना, स्वाभाविक रूप से उसे open source बनाना, और Tor की तरह security patches से network की मदद करना, लेकिन पूरे network पर असली “admin dashboard-style control” न होना—ऐसा model हो सकता है
website static file caching के रूप में इससे छोटी scale पर मिलता-जुलता काम हम पहले से कर रहे हैं, लेकिन वह बहुत छोटे स्तर पर है
security चुनौतियां बहुत बड़ी होंगी, लेकिन शायद असंभव नहीं। IPFS इसके करीब है, मगर वह फिर भी seed-centric जैसा है
अगर कोई ऐसी किसी चीज़ के बारे में जानता हो तो सुनना चाहूंगा
अगर cryptocurrency पहले से demonize नहीं हुई होती, तो seeding-based cryptocurrency जैसा incentive शानदार हो सकता था
जिन movies या books की परवाह सिर्फ कुछ लोगों को है, उन्हें host करने पर कोई पैसा और bandwidth खर्च नहीं करना चाहता
wget या curl इस्तेमाल करने के अलावा, IA से usable complete website download करने के कोई tips हैं?
data breach के बारे में अतिरिक्त जानकारी यहां है। चोरी हुए database में 3.1 करोड़ records हैं
https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/
अभी देखा कि site यह warning दिखा रही है:
“क्या आपको कभी लगा है कि Internet Archive डंडों के सहारे चल रहा है और किसी भी समय catastrophic security breach झेल सकता है? अभी वही हुआ। HIBP पर आप 3.1 करोड़ लोगों से मिलते हैं!”
friendly या humor try करने वाले error messages को कभी-कभी पहचानना मुश्किल होता है
लगता है किसी ने Polyfill के subdomain में से एक को compromise किया है
update: अभी लगता है subdomain फिर से normal response return कर रहा है
यह ऐसा पल है जब मन करता है कि ऐसी हरकत करने वाले पर सचमुच श्राप काम कर जाए
“तुम्हें और तुम्हारी संतानों को तुम्हारे कुकर्मों की सजा में 10,000 रातों तक 10,000 पिस्सू काटें”
अभी कहने का शायद सही समय नहीं है, लेकिन जिन collections में items हैं उन्हें देखते हुए username के साथ सभी emails निकालना हैरान करने वाली हद तक आसान है
https://archive.org/metadata/naturally_a_girl/metadata
किसी न किसी तरीके से username से जुड़ी emails को बड़े पैमाने पर निकालने वाला कोई न कोई आखिरकार आ ही जाता
थोड़ा जिज्ञासु हूं कि hacker ने database में सेंध कैसे लगाई और passwords कैसे हासिल किए
ईमानदारी से कहूं तो यह design flaw जैसा लगता है
https://github.com/internetarchive/iaux/issues/892
आखिर Internet Archive को ही क्यों निशाना बनाना। कुछ और target करो, उस धिक्कार आर्काइव को मत छुओ
लगता है यह thread इस घटना के record होने वाली पहली जगहों में से एक होगा। Google में सबसे ऊपर दिखता लग रहा है
इस वजह से पहले ही दो नए accounts बने हुए हैं
कई सालों तक IA account के लिए Gmail address इस्तेमाल किया, और 9 महीने पहले email को अपने domain से बने masking address में बदल दिया
लेकिन अब देख रहा हूं कि मेरा Gmail address अब भी stored था और leak में शामिल हो गया। ऐसा क्यों?
यह समझ आता है कि change history store की जा सकती है, लेकिन उसे संभालकर रखना क्यों ज़रूरी है?
मौजूदा account info में password को password manager द्वारा generate की गई एक अलग random string में बदल दिया है, और masking email address भी delete करके नया बना लिया है
आगे चलकर यह मेरे लिए बड़ी समस्या नहीं होगी
HaveIBeenPwned पर सबसे पहले मैंने पहला email check किया था, लेकिन वह इस breach में नहीं दिखा
IA-only email और password इस्तेमाल करने वाले कुछ दूसरे accounts सभी इस leak में सही तरीके से दिख रहे हैं
यह क्यों हुआ, समझा नहीं सकता, लेकिन मेरे मन में भी यही ख्याल आया था और मैं एक उलटा उदाहरण भी छोड़ना चाहता था