Internet Archive sufre una importante filtración de datos que afecta a 31 millones de usuarios
Creado el 10 de octubre de 2024 • Noticias • 1,246 vistas • 5 minutos de lectura
Internet Archive sufrió una violación de datos, exponiendo 31 millones de cuentas y generando graves problemas de seguridad para sus usuarios.
Internet Archive, conocido por su biblioteca digital y por la "Wayback Machine", ha sufrido una grave vulneración de datos que ha afectado a más de 31 millones de cuentas de usuarios. La vulneración se reveló cuando un actor de amenazas desfiguró el sitio con una alerta de JavaScript el 9 de octubre de 2024, informando a los visitantes de los datos comprometidos. Esta vulneración expuso direcciones de correo electrónico, nombres de usuario y contraseñas cifradas con bcrypt. La vulneración fue confirmada por expertos en ciberseguridad, entre ellos Troy Hunt de Have I Been Pwned (HIBP), que recibió la base de datos de autenticación robada.
¿Que pasó?
El miércoles por la tarde, los usuarios que visitaban el sitio web de Internet Archive se encontraron con un alarmante mensaje emergente que indicaba una importante violación de seguridad. El mensaje afirmaba que el sitio había sido comprometido, afectando a millones de usuarios. La violación fue confirmada más tarde por el fundador de Internet Archive, Brewster Kahle, quien también reveló que el sitio web había sufrido un ataque de denegación de servicio distribuido (DDoS) ese mismo día.
Según se informa, los datos comprometidos incluyen más de 31 millones de registros de usuarios, que consisten en direcciones de correo electrónico, nombres de usuario, contraseñas cifradas con bcrypt y otros datos internos. La base de datos robada era un archivo SQL de 6.4 GB llamado "ia_users.sql", que tenía una marca de tiempo más reciente del 28 de septiembre de 2024, lo que sugiere que la violación ocurrió poco antes de esta fecha.
HIBP confirma la infracción
Troy Hunt, el creador de Have I Been Pwned (HIBP), confirmó que recibió la base de datos comprometida del atacante. Hunt reveló que el 54% de las cuentas afectadas ya estaban incluidas en HIBP debido a infracciones anteriores. Tomó medidas para verificar la legitimidad de los datos robados comparándolos con los de otros usuarios, incluido el investigador de ciberseguridad Scott Helme, quien confirmó que la contraseña cifrada con bcrypt y otros detalles coincidían con la información de su cuenta de archive.org.
Este proceso de verificación demostró que los datos eran reales y que la violación tuvo un impacto de amplio alcance en los usuarios de Internet Archive.
Ataque DDoS y desfiguración de sitios web
Además de la filtración de datos, el mismo día Internet Archive sufrió un ataque DDoS que dejó su sitio web temporalmente inaccesible. El ataque fue reivindicado por el grupo hacktivista Meta negra, que también había atacado el Archivo con ataques DDoS a principios de 2024.
La notificación emergente que apareció en el sitio, que lo desfiguró, aumentó la confusión y el pánico entre los visitantes. La notificación decía: "¿Alguna vez has sentido que Internet Archive funciona con memorias USB y está constantemente al borde de sufrir una catastrófica violación de seguridad? Acaba de suceder. ¡Vean a 31 millones de ustedes en HIBP!".
El equipo de Internet Archive actuó rápidamente para eliminar la desfiguración y restaurar el sitio web. A última hora de la tarde del miércoles, Brewster Kahle compartió una actualización a través de la cuenta del sitio en X (anteriormente Twitter), indicando que habían desactivado la biblioteca JavaScript responsable de la desfiguración y que estaban limpiando activamente sus sistemas y mejorando la seguridad para evitar más infracciones.
¿Qué información fue expuesta?
La base de datos robada contenía varios datos confidenciales, entre ellos:
- Las direcciones de correo
- Nombres de pantalla
- Marcas de tiempo de cambio de contraseña
- Contraseñas cifradas con Bcrypt
El algoritmo de hash bcrypt está diseñado para proteger las contraseñas contra ataques de fuerza bruta, pero la exposición de una cantidad tan grande de cuentas es preocupante. Si bien el algoritmo de hash bcrypt brinda cierta protección, se recomienda a los usuarios que cambien sus contraseñas, especialmente si reutilizaron la misma contraseña en varios sitios web.
Según Hunt, algunos de los datos de la base de datos datan de varios años atrás, aunque incluyen información reciente, y el último cambio de contraseña se registró en septiembre de 2024. Esto sugiere que la filtración afectó tanto a los usuarios antiguos de Internet Archive como a las cuentas más nuevas.
¿Cómo se produjo la violación?
Hasta el momento, se desconoce el método exacto que utilizaron los piratas informáticos para acceder a la base de datos de Internet Archive. No existe un vínculo claro entre la filtración de datos y el ataque DDoS, pero ambos ocurrieron en un breve período de tiempo, lo que lleva a especular que los dos incidentes pueden haber sido coordinados.
La declaración inicial de Brewster Kahle confirmó que el equipo se había centrado en defenderse del ataque DDoS durante la mayor parte del día y que solo más tarde se dio cuenta de que los datos de los usuarios habían sido comprometidos. Es posible que el ataque DDoS sirviera como distracción, permitiendo a los piratas informáticos vulnerar el sistema y extraer la base de datos sin que nadie se diera cuenta.
¿Qué medidas se están tomando?
Tras la vulneración, Internet Archive deshabilitó la biblioteca JavaScript afectada, que se había visto comprometida para mostrar el mensaje de desfiguración. El equipo está trabajando actualmente en la limpieza de sus sistemas de cualquier malware o scripts no autorizados que puedan haberse instalado durante el ataque. Se están implementando mejoras de seguridad para proteger el sitio de futuras vulneraciones.
Kahle también aseguró a los usuarios que se compartirá más información a medida que avance la investigación y que están trabajando estrechamente con expertos en ciberseguridad para garantizar la seguridad de sus sistemas.
Implicaciones para los usuarios de Internet Archive
La filtración tiene graves consecuencias para los millones de personas que han utilizado los servicios de Internet Archive. Dado que las direcciones de correo electrónico y las contraseñas cifradas con bcrypt han quedado expuestas, se recomienda a los usuarios que:
- Cambie sus contraseñas inmediatamente, especialmente si se utilizó la misma contraseña en varios sitios web.
- Habilitar la autenticación de dos factores (2FA) donde esté disponible para agregar una capa adicional de seguridad a sus cuentas.
- Compruebe si me han engañado (HIBP) para determinar si su información fue parte de la violación.
HIBP pronto permitirá a los usuarios verificar si sus datos fueron expuestos en esta violación, gracias a los esfuerzos de Hunt por cargar la base de datos comprometida al servicio.
BlackMeta y los ataques futuros
El grupo hacktivista Meta negra, que se atribuyó la responsabilidad del ataque DDoS, ha insinuado futuros ataques a Internet Archive. BlackMeta tiene un historial de atacar a organizaciones con ciberataques disruptivos y anteriormente atacó a Internet Archive en mayo de 2024.
Aunque sus motivaciones no están claras, parece que el grupo tiene la intención de causar la mayor perturbación posible. Publicaron un mensaje críptico en X, sugiriendo que se planea otro ataque para el día siguiente. Esto genera inquietud sobre la vulnerabilidad actual de Internet Archive a este tipo de ataques.
Una importante violación con consecuencias a largo plazo
La filtración de datos de Internet Archive es un recordatorio esclarecedor de los riesgos asociados a las plataformas en línea que almacenan datos confidenciales de los usuarios. Con más de 31 millones de registros de usuarios expuestos, las consecuencias de esta filtración podrían ser significativas, tanto para las personas afectadas como para la propia organización. Internet Archive es un recurso vital para la preservación digital del conocimiento, pero este incidente pone de relieve la importancia de contar con medidas sólidas de ciberseguridad incluso para las instituciones más confiables.
Mientras continúa la investigación de la violación, Internet Archive debe actuar rápidamente para reconstruir la confianza con sus usuarios y garantizar que se eviten incidentes similares en el futuro.