The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Взлом Internet Archive привёл к утечке 31 миллиона учётных записей

10.10.2024 07:12

Трой Хант (Troy Hunt), создатель сервиса проверки скомпрометированных паролей "Have I Been Pwned" (haveibeenpwned.com), получил сведения об утечке пользовательской базы организации Internet Archive (archive.org), сопровождающей архив сайтов "Wayback Machine" и крупнейшую библиотеку оцифрованного контента. Совершившие атаку передали Трою SQL-дамп с учётными записями 31 млн. пользователей archive.org. Кроме того, зафиксирована подстановка на сайт archive.org JavaScript-кода, выводящего всплывающее окно с информацией о взломе.

Попавший в руки исследователей SQL-дамп занимает более 6 ГБ и среди прочего включает хэши паролей пользователей в формате bcrypt, время изменения паролей, email и имена пользователей. Наиболее свежая запись в БД датирована 28 сентября.

Предупреждение об утечке передано администрации archive.org, но официальная информация пока ограничилась общим подтверждением взлома, уведомлением об удалении вредоносной JavaScript-библиотеки и проведением работы по обновлению систем. Также упомянуты сведения о DDoS-атаке, из-за которой сайт archive.org оказался временно недоступен.

Актуальность БД подтвердил известный исследователь безопасности Скот Хельме (Scott Helme), хэш пароля и время изменения из утекшего SQL-дампа у которого совпали с данными из его менеджера паролей. Компрометацию своих учётных записей можно проверить через сервис haveibeenpwned.com, уже охватывающий сведения из утекшей БД archive.org. В общем виде в haveibeenpwned.com отражена информация о 14 миллиардах учётных записей и сведения о взломах 817 сайтов.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Утечка токенов пользователей платформы Hugging Face Spaces
  3. OpenNews: Утечка закрытых ключей Intel, используемых для заверения прошивок MSI
  4. OpenNews: Утечка токена для полного доступа к GitHub-репозиториям проекта Python
  5. OpenNews: Утечка содержимого внутренних Git-репозиториев компании Яндекс
  6. OpenNews: Утечка хэшей паролей Whois-сервиса интернет-регистратора APNIC
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62022-hack
Ключевые слова: hack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (63) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, An (??), 08:06, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    Красота )
     
     
  • 2.28, crypt (ok), 10:22, 10/10/2024 Скрыто ботом-модератором     [к модератору]
  • –4 +/
     

  • 1.13, 4 стека (?), 08:29, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Как-же секурно.
     
  • 1.14, Аноним (14), 08:37, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > зафиксирована подстановка на сайт archive.org

    Не обнаружено.

     
     
  • 2.57, Амномоним (?), 13:59, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    официальная информация пока ограничилась ... уведомлением об удалении вредоносной JavaScript-библиотеки
     
  • 2.78, ananuil (ok), 19:01, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Проверка в базе Троя Ханта более секьюрно чем через сайт: https://github.com/edyatl/passchek.git
     

  • 1.15, Аноним (14), 08:38, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    > Совершившие атаку передали Трою

    Двусмысленненько.

     
  • 1.16, Аноним (16), 09:13, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    На archive.org можно было регацца?!?!
     
     
  • 2.18, Аноним (18), 09:15, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А как по твоему пользователи архивируют контент?
     
     
  • 3.34, Аноним (34), 11:24, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Чел, там буквально можно архивировать без регистрации.
     
  • 2.21, timur.davletshin (ok), 09:23, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Там огромная библиотека сканированных книг. Есть и новые, для них нужна учётка.
     
     
  • 3.29, crypt (ok), 10:25, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    есть еще защищенный контент, который доступен только патронатам общества слепых. к сожалению, ими могут стать только граждане США. я нашел, как это обойти, но искренне обидно, что взлом осуществил не я:)
     
  • 3.66, adolfus (ok), 15:26, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Огромная библиотека сканированных книг -- это libgen
     
     
  • 4.67, timur.davletshin (ok), 15:44, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Смешно пошутил. Ты там хотя бы Шекспира попробуй поискать для начала. Оригинальные фолио.
     
  • 2.37, Аноним (37), 11:39, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Там например есть книги полная версия которых доступна только после регистрация. Причём книга берется в монопольное владение тобой как в библиотеке на время и никто другой в это время почитать книгу на сайте не сможет. Надо не забывает вручную сдать книгу если перестал читать. Если что это решается скачиванием книги на жесткий диск специальной тулзой.
     
     
  • 3.41, Аноним (41), 11:53, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +7 +/
    >книга берется в монопольное владение тобой как в библиотеке на время и никто другой в это время почитать книгу на сайте не сможет.

    Чего, глядь?
    Эти дегенераты самостоятельно отказались от основного преимущества цифровых копий?(их можно выдать сколько угодно, а не один распечатанный экземпляр).
    Тогда почему бы им не хранить всего один единственный бекап? А че, так тоже можно!

     
     
  • 4.44, Аноним (37), 12:00, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Если не веришь вот правила пользования https://help.archive.org/help/borrowing-from-the-lending-library/ это не шутки здесь всё серьёзно. Библиотекарша если что будет тебя искать.
     
     
  • 5.79, Аноним (41), 19:06, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    это лишь говорит об их общем уровне.
    напомнило историю в гитхаб, когда "админ" перепутал строчки бекапа и восстановления и навернул значительную часть гитхаба больше чем на неделею.
     
  • 5.81, Аноним (41), 19:13, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну и честно говоря, все это вот придуманное ими тряхомудье с якобы "одной копией", больше похоже на "ЗАПЛОТИ НАМ".
    Я увидел, что там можно встать в лист ожидания, что бы взять книгу на час.
    (что за час можно сделать - полу\автоматически отскриншотить все листы к себе на комп?)
    Можно еще уведомления по почте рассылать - потрясающая бизнес идея, утром открываешь емайл, а там два письма, в первом говориться что в 2 часа ночи у вас открывается доступ к книге,
    а вторым в 3 часа ночи - что доступ закрывается.
    "Мне наверное за эту идею нобелевскую премию дадут..."
     
  • 4.89, Аноним (89), 06:00, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Их разномастные издатели периодически пытаются прогнуть на то чтобы вообще закрыться и поудалять либо убрать из общего доступа всё собранное.

    Это не «дегенераты», а очевидный хак, чтобы от претензий правовладельцев можно было отмахиваться законодательством о библиотеках.

     
     
  • 5.97, Аноним (97), 02:19, 15/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так в библиотеках м.б.более одной копии
     
  • 3.94, анонимус (??), 11:29, 12/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Там например есть книги полная версия которых доступна только после регистрация. Причём книга берется в монопольное владение тобой как в библиотеке на время и никто другой в это время почитать книгу на сайте не сможет.

    Таких не видел, брал на час без регистрации.

     

  • 1.19, Вирт (?), 09:16, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А откуда там пользователи? Это же бесплатный архив, у них есть какие-то коммерческие услуги?
     
     
  • 2.20, Аноним (20), 09:23, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так "бесплатно архивируемое" не самотёком туда попадает .
     
     
  • 3.25, Соль земли (?), 09:48, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну хз, я там свой сайт нашёл, которого нет уже 100 лет. Я его туда не клал.
     
     
  • 4.27, Аноним (27), 10:00, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Архивами сайтов archive.org не ограничивается, это в первую очередь библиотека отсканированных книг, старого видео и прочего контента.
     
  • 4.30, Аноним (-), 10:27, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну так не обязательно быть владельцем сайта, чтобы что-то в архив поместить.
    Я помню через него часто сохраняли всякие факапы чинушь, которые сначала открывают рот, а потом включают мозг.
     
  • 3.46, Аноним (14), 12:25, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Так "бесплатно архивируемое" не самотёком туда попадает .

    Именно так и попадает.

     

  • 1.22, Аноним (16), 09:25, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > но официальная информация пока ограничилась общим подтверждением взлома, уведомлением об удалении вредоносной JavaScript-библиотеки и проведением работы по обновлению систем

    Ссылки на eXtwitter не открываются так что дайте угадаю - либу втащил npm вместе гигабайтом обфускированного js мусора при сборке фронтенда?

     
  • 1.24, Соль земли (?), 09:47, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какую уязвимость использовали?
     
     
  • 2.35, Аноним (35), 11:35, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Чуть выше написали - NPM.
     

  • 1.32, Изя (?), 11:11, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Я про archive.org знаю с конца 90х, но только сейчас узнал что там были учётные записи
     
     
  • 2.39, Аноним (37), 11:40, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да ты и про то что там куча книг выложена не знал.
     
     
  • 3.47, Аноним (14), 12:28, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Куча, может, и выложена. Но ни одной интересной для меня для скачивания не предлагалось. Только просмотр встроенной читалкой первых что-то там 15 страниц (с благодарностями и в лучшем случае кусок оглавления).
     
     
  • 4.49, Аноним (14), 12:32, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Скажу больше - вспоминается только одна. Скан оригинального издания Хармана по факторному анализу. И то не уверен в легитимности размещения данной книги в бесплатном доступе. Остальные нужные книги - в упомянутых выше фрагментах.
     
     
  • 5.51, Аноним (37), 12:46, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так как раз чтобы читать целиком, а не фрагмент нужна бесплатная регистрация записи которой как раз и украли. Потом нажимаешь borrow и читаешь своего Хармана целый час. А при опыте в гугле можно скачать целиком и читать офлайн.  
     
  • 4.61, timur.davletshin (ok), 14:27, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Куча, может, и выложена. Но ни одной интересной для меня для скачивания
    > не предлагалось. Только просмотр встроенной читалкой первых что-то там 15 страниц
    > (с благодарностями и в лучшем случае кусок оглавления).

    Умельцы умеют их тоже скачивать...

     
  • 4.83, YetAnotherOnanym (ok), 19:20, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, это кому что. Я там нашёл "Danmarks gamle folkeviser", когда спорил с одним толкинутым, считавшим себя знатоком скандинавского фольклора.
    Ну, и - да, подозреваю, что возможность скачивания полной версии по прямой ссылке зависит от того, какие чекбоксы отметил выкладывающий.
     

  • 1.33, th3m3 (ok), 11:23, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Внезапно, там ещё и регаться можно было. И внезапно, даже база юзеров огромная, аж на 6 гигов. День открытий)
     
     
  • 2.40, Аноним (37), 11:41, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты можешь даже свои старые книги или старые рекламки, брошюры отсканировать и выложить. И они там будут храниться тысячелетиями.
     
     
  • 3.42, Аноним (42), 11:56, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то не уверен что он проживёт так долго...
     
     
  • 4.45, Аноним (37), 12:03, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Главное верить. В будущем вся либа поместится на носитель размеров с флешку. И бекапить не будет проблемы.
     
  • 4.48, Аноним (14), 12:28, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Случившееся - доказательство Вашей правоты.
     
     
  • 5.52, Аноним (37), 12:47, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ни одной книжки из-за этого не пропало и ни одного сайта.
     
  • 2.68, Аноним (68), 15:50, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты удивишься, но некоторые туда и тонны вареза заливают под своими учётками.

    Архиву на это, впрочем, пофиг, они даже не ответили на письмо, мол, парни, вон там и там лежит откровенный варез.

    Зато потом, когда в суде их щемят правообладатели, они жалуются, что нас бедных щемят, помогите

     

  • 1.53, Брус Ю (?), 13:02, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, чем им архив-то не угодил.
     
     
  • 2.60, Аноним (60), 14:25, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно, чем им архив-то не угодил.

    Может это какие то корпоративные войны?) Ну так сказать ты не знаешь с какими организациями сотрудничает archive.org , или думаешь все эти серверы забесплатно?)

     
  • 2.92, Аноним (92), 12:22, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Сложно утверждать, что Океания всегда воевала с Остазией, когда любому доступен архив новостей за последние лет 20. В эпоху ИИ-лжи важность таких проектов возрасла многократно.
     
     
  • 3.93, Аноним (60), 01:33, 12/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    archive.org в этом не уникален.
    https://3dnews.ru/1107583/v-seti-opublikovana-baza-s-pochti-10-mlrd-unikalnih-
     

  • 1.56, ryoken (ok), 13:23, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всегда было интересно, каких объемов у них хранилище.
     
     
  • 2.64, Аноним (37), 15:03, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В Википедию (английскую) зайти и в первом же абзаце увидеть ответ слабо?
     
     
  • 3.77, ryoken (ok), 18:52, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > В Википедию (английскую) зайти и в первом же абзаце увидеть ответ слабо?

    Перечисление того, что там есть, не подразумевает ответа на вопрос о емкости их систем хранения.

     

  • 1.75, Я (??), 18:03, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если переписать все на раст и Django, то вместо паролей взломщики получат только рожки и ножки квадроберов
     
  • 1.76, Аноним (76), 18:34, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ничего святого у взломщика. Нашел объект взлома. Наемник корпорастов. )
     
     
  • 2.82, Аноним (41), 19:17, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    выше же тебе сказали - там варез лежит.
    удивлен, что у нас еще не заблокировали данный ресурс, дискорд забанили, твитч тоже забанят.
    кому, кстати, об этом писать следует - сенатору или депутатам?
     
     
  • 3.88, Аноним (88), 23:48, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Спортлото.
     
  • 3.90, Аноним (90), 10:36, 11/10/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.85, Аноним (88), 21:14, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >уведомлением об удалении вредоносной JavaScript-библиотеки

    Какие вредоносные действия делала библиотека, предупреждавшая о взломе?

     
  • 1.86, Аноним (88), 21:16, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >хэши паролей пользователей в формате bcrypt

    Нестрашно. Но могли бы и до Argon2 обновить.

     
  • 1.87, Аноним (88), 21:24, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Что-то не открывается. В Твиттере пишут что их ддосят.
     
  • 1.91, Аноним (91), 12:00, 11/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О каких паролях вообще речь?
     
  • 1.95, Аноним (95), 11:35, 13/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    где качнуть?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру