أعلنت نافذة جافا سكريبت المنبثقة غير المشروعة على أرشيف الإنترنت بعد ظهر الأربعاء أن الموقع تعرض لاختراق كبير للبيانات. وبعد ساعات أكدت المنظمة الحادثة.
كما أكد تروي هانت، الباحث الأمني منذ فترة طويلة، والذي يدير موقع إشعارات خرق البيانات Have I Been Pwned (HIBP)، أن الانتهاك مشروع. وقال إن ذلك حدث في سبتمبر وأن المجموعة المسروقة تحتوي على 31 مليون عنوان بريد إلكتروني فريد بالإضافة إلى أسماء المستخدمين وتجزئة كلمة مرور bcrypt وبيانات النظام الأخرى. كما أكدت شركة Bleeping Computer، التي أبلغت عن الاختراق لأول مرة، صحة البيانات.
لم يُرجع أرشيف الإنترنت بعد طلبات متعددة للتعليق من WIRED.
“هل شعرت يومًا أن أرشيف الإنترنت يعمل على العصي وهو دائمًا على وشك التعرض لانتهاك أمني كارثي؟” كتب المهاجمون في الرسالة المنبثقة لأرشيف الإنترنت يوم الأربعاء. لقد حدث ذلك للتو. شاهد 31 مليونًا منكم على HIBP!
بالإضافة إلى الاختراق وتشويه الموقع، يواجه أرشيف الإنترنت موجة من هجمات حجب الخدمة الموزعة التي أدت إلى تعطيل خدماته بشكل متقطع.
قدم مؤسس أرشيف الإنترنت، بروستر كال، تحديثًا عامًا مساء الأربعاء في منشور على شبكة التواصل الاجتماعي X. “ما نعرفه: تم صد هجوم DDOS في الوقت الحالي؛ تشويه موقعنا عبر مكتبة JS؛ خرق أسماء المستخدمين/البريد الإلكتروني/كلمات المرور المشفرة المملحة. ما قمنا به: تعطيل مكتبة JS، وتنظيف الأنظمة، ورفع مستوى الأمان. سوف نشارك المزيد كما نعرفه.” تشير “أنظمة التنظيف” إلى الخدمات التي توفر الحماية من هجمات DDoS عن طريق تصفية حركة المرور الضارة حتى لا تتمكن من إغراق موقع الويب وتعطيله.
واجه أرشيف الإنترنت هجمات DDoS العدوانية عدة مرات في الماضي، بما في ذلك في أواخر شهر مايو. كما كتب Kahle يوم الأربعاء: “تكرر هجوم DDOS بالأمس على @internetarchive اليوم. نحن نعمل على إعادة http://archive.org إلى الإنترنت مرة أخرى.” أعلنت مجموعة القرصنة المعروفة باسم “BlackMeta” مسؤوليتها عن هجمات DDoS التي وقعت هذا الأسبوع وقالت إنها تخطط لتنفيذ المزيد ضد أرشيف الإنترنت. ومع ذلك، فإن مرتكب خرق البيانات ليس معروفًا بعد.
واجه أرشيف الإنترنت معارك على عدة جبهات في الأشهر الأخيرة. بالإضافة إلى هجمات DDoS المتكررة، تواجه المنظمة أيضًا تحديات قانونية متزايدة. لقد خسرت مؤخرًا الاستئناف في هاشيت ضد أرشيف الإنترنت، وهي دعوى قضائية رفعها ناشرو الكتب، والتي زعمت أن مكتبة الإقراض الرقمية الخاصة بها تنتهك قانون حقوق الطبع والنشر. والآن، تواجه تهديدًا وجوديًا في شكل دعوى قضائية أخرى تتعلق بحقوق الطبع والنشر، هذه الدعوى المرفوعة من شركات الموسيقى، والتي قد تؤدي إلى تعويضات تصل إلى 621 مليون دولار إذا حكمت المحكمة ضد الأرشيف.
يقول هانت من HIBP إنه تلقى لأول مرة بيانات أرشيف الإنترنت المسروقة في 30 سبتمبر، وقام بمراجعتها في 5 أكتوبر، وحذر المنظمة منها في 6 أكتوبر. ويقول إن المجموعة أكدت له الاختراق في اليوم التالي، وأنه خطط للتحميل البيانات إلى HIBP وإخطار مشتركيها بشأن الانتهاك يوم الأربعاء. وكتب هانت: “يتم تشويهها وDDoS، تمامًا أثناء تحميل البيانات إلى HIBP”. “يبدو أن توقيت النقطة الأخيرة هو محض صدفة تامة.”
وأضاف هانت أيضًا أنه بينما شجع المجموعة على الكشف علنًا عن خرق البيانات نفسها قبل صدور إخطارات HIBP، فإن الظروف المخففة قد تفسر التأخير.
وكتب هانت: “من الواضح أنني كنت أود أن أرى هذا الكشف في وقت مبكر، ولكن بالنظر إلى مدى تعرضهم للهجوم، أعتقد أنه يجب على الجميع أن يخففوا عنهم بعض الشيء”. “إنها مؤسسة غير ربحية تقوم بعمل رائع وتقدم خدمة يعتمد عليها الكثير منا بشكل كبير.”