Na tarde de quarta-feira, um pop-up JavaScript ilegal no Internet Archive alertou os usuários sobre uma grande violação de dados, levantando preocupações sobre a segurança do site. Horas depois, o Internet Archive confirmou o incidente, revelando que a violação era legítima.
Detalhes da Violação de Dados
A violação, que ocorreu em setembro, foi confirmada por Troy Hunt, um pesquisador de segurança que administra o site de notificações de violação de dados “Have I Been Pwned” (HIBP). De acordo com Hunt, a violação comprometeu 31 milhões de endereços de e-mail exclusivos, juntamente com nomes de usuários, hashes de senha bcrypt e outros dados do sistema. A violação foi inicialmente relatada pela Bleeping Computer, que também verificou a legitimidade das informações roubadas.
Ataques DDoS e Desfiguração do Site
Além da violação de dados, o Internet Archive vem enfrentando uma série de ataques de negação de serviço distribuídos (DDoS). Esses ataques derrubaram os serviços do site de forma intermitente, complicando ainda mais os esforços de recuperação da organização. Brewster Kahle, fundador do Internet Archive, confirmou que o site foi temporariamente retirado do ar para mitigar os ataques DDoS.
Kahle atualizou a situação em uma postagem no X (anteriormente Twitter) na quarta-feira, reconhecendo o ataque e a violação. “O que sabemos: Ataque DDoS—defendido por enquanto; desfiguração do nosso site via biblioteca JS; violação de nomes de usuários/e-mails/senhas criptografadas com sal”, escreveu ele. Kahle também descreveu as medidas tomadas pela organização para resolver os problemas, incluindo a desativação da biblioteca JavaScript comprometida, limpeza de sistemas e aprimoramento da segurança.
Desafios e Batalhas Legais em Andamento
O Internet Archive não é estranho a ataques DDoS agressivos, tendo enfrentado incidentes semelhantes no passado. Recentemente, em maio, a organização foi alvo de um ataque DDoS significativo. Na quarta-feira, Kahle confirmou que os mesmos ataques haviam se repetido, e o grupo estava trabalhando para restaurar a funcionalidade total de archive.org. O grupo hacktivista conhecido como BlackMeta reivindicou a responsabilidade pelos recentes ataques DDoS, afirmando que planejam mais ações contra o Internet Archive. No entanto, o grupo responsável pela violação de dados ainda não foi identificado.
Além dessas ameaças cibernéticas, o Internet Archive tem lidado com desafios legais significativos. Recentemente, a organização perdeu um recurso no caso Hachette v. Internet Archive, um processo movido por grandes editoras alegando que a biblioteca de empréstimo digital da Archive violava as leis de direitos autorais. Agora, o Internet Archive enfrenta um processo de US$ 621 milhões movido por gravadoras de música por questões de direitos autorais, representando uma ameaça existencial à organização.
O Papel do HIBP na Notificação da Violação de Dados
Troy Hunt, que recebeu os dados roubados em 30 de setembro, revisou as informações e notificou o Internet Archive sobre a violação em 6 de outubro. A organização confirmou a violação no dia seguinte. Hunt então planejou carregar os dados no HIBP e notificar os assinantes sobre a violação na quarta-feira. No entanto, assim que os dados estavam sendo carregados no HIBP, o Internet Archive foi atingido por outra onda de ataques DDoS.
Hunt demonstrou compreensão em relação ao atraso na divulgação pública da violação pelo Internet Archive, reconhecendo os desafios que eles enfrentam com os ataques cibernéticos em curso. “Obviamente, eu teria gostado de ver essa divulgação muito mais cedo, mas entendendo como eles estão sob ataque, acho que todos deveriam dar um desconto a eles”, escreveu Hunt. Ele também enfatizou a importância do trabalho do Internet Archive como uma organização sem fins lucrativos, oferecendo serviços dos quais muitos dependem.
Implicações Futuras
Este incidente destaca a crescente frequência e gravidade dos ataques cibernéticos, mesmo contra organizações sem fins lucrativos como o Internet Archive. À medida que a Archive lida com ataques DDoS contínuos, desafios legais e agora uma violação de dados significativa, é crucial que organizações semelhantes invistam em medidas de segurança cibernética para proteger seus dados e usuários.
