Das Internet Archive hat sich ein großes Ziel gesetzt. Die Organisation bewahrt flüchtige Daten für die Nachwelt auf. Webseiten; Bücher und sogar historische Software gehören zu diesem Datenschatz. Vor Kurzem wurde jedoch bekannt, dass Teile dieses Schatzes in unbefugte Hände gelangten. Die Zugangsdaten der Archive-Nutzer sind betroffen. Zudem war das Internet Archive in den letzten Tagen Ziel eines dDoS-Angriffs und ebenfalls einer Defacement-Attacke.
Datenpanne im September
Bereits im September wird berichtet. Dass Angreifer Zugriff auf die internen Systeme des Archives erlangten. Die Mitgliederdatenbank wurde kopiert. Die Cyberkriminellen erbeuteten neben Benutzername & E-Mail-Adresse auch die mittels "bcrypt" gehashten Passwörter der archive.org-Konten. Obwohl die meisten Inhalte des Internet-Archivs ohne Zugang abrufbar sind, benötigt man für die virtuelle Ausleihe von Medien ein Konto.
Warnung durch Troy Hunt
Am 30. September wurde die Nutzerdatenbank Troy Hunt, dem Betreiber des Dienstes "Have I been pwned" (HIBP) zugespielt. Er war jedoch auf Reisen. Erst eine Woche später informierte Hunt das Internet Archive über den Vorfall. Die Daten wurden in seine Datenbank "geownter" Nutzerkonten eingepflegt. Ziel war es; seine Abonnenten innerhalb von 72 Stunden zu benachrichtigen. Schließlich geschah dies in der Nacht zum Donnerstag. Betroffene wurden per E-Mail über den Datenklau informiert.
Sicherheitsmaßnahmen und Schwierigkeiten
Obwohl die Zugangspasswörter relativ sicher sind, sollten Nutzer des Internet Archive ihr Kennwort ändern. Aber wie soll das geschehen? Am Mittwoch war es nicht einfach. Das Internet Archive litt unter einem dDoS-Angriff der viele Nutzer aussperrte. Downdetector meldete starke Störungen. Auch das Archiv selbst bestätigte die Angriffe am Dienstag und Mittwoch. Der Zeitpunkt des Ausfalls war besonders ungünstig, da Google die "Wayback Machine" erst vor Kurzem angekündigt hatte.
Surreales Popup auf der Webseite
Nutzer die es dennoch auf die Startseite von archive.org schafften, wurden mit einem seltsamen Popup konfrontiert. Ein JavaScript-Textkasten fragte ob die User nicht auch das Gefühl hätten das Internet Archive stünde am Rande eines katastrophalen Sicherheitsvorfalls. Diese prophetische Frage können nun nur noch Troy Hunt und die Betreiber des Internet Archive bejahen. Der Datenverlust war zu diesem Zeitpunkt noch nicht öffentlich bekannt.
Ursachen der Angriffe
Der Grund für das "Defacement" der Webseite war anscheinend ein Supply-Chain-Angriff. Brewster Kahle vom Betreiberteam bestätigte, dass Angreifer eine extern eingebundene Version der "Polyfill"-Bibliothek gekapert hatten. Diese wurde mit etwas zusätzlichem freilich gutartigen JavaScript-Code versehen.
Unklare Verursacher
Es ist unklar, ob alle drei Angriffe in direktem Zusammenhang zueinander stehen. In einer Auflistung der Ereignisse mutmaßt Troy Hunt, dass sie nur zufällig gleichzeitig stattfanden. Wer die Webseite des Internet Archive verunstaltet hat und warum die Nutzerdatenbank abgezogen wurde, bleibt vorerst unklar. Der dDoS-Angriff wird von einer Gruppe reklamiert. Diese bezeichnet sich in ihrem Telegram-Kanal als Kämpfer gegen das "weltweite zionistische Regime".
Kommentare