Internet Archive bucato, 31 milioni di utenti colpiti dal data breach

Internet Archive bucato, 31 milioni di utenti colpiti dal data breach

Internet Archive è stato attaccato e un malintenzionato non meglio noto ha sottratto le informazioni di 31 milioni di account. Nei giorni scorsi il portale è stato anche oggetto di pesanti attacchi DDoS, ma al momento i fatti non paiono correlati.

di pubblicata il , alle 06:51 nel canale Sicurezza
 

Il sito di Internet Archive ha subito una violazione dati imponente. Un malintenzionato ha rubato un database di autenticazione degli utenti contenente 31 milioni di record unici.

La notizia della violazione ha iniziato a circolare nella notte italiana, con i visitatori di archive.org che hanno iniziato a vedere un popup JavaScript creato dall'hacker in cui si sosteneva che Internet Archive fosse stato violato.

"Vi siete mai sentiti come se Internet Archive funzionasse su vecchi sistemi e fosse costantemente sul punto di subire una catastrofica violazione della sicurezza? È appena successo. Ci vediamo in 31 milioni su HIBP!", recitava l'avviso, ora non più presente.

Con HIBP il malintenzionato si riferisce al servizio di notifica delle violazioni Have I Been Pwned, con il quale i cybercriminali condividono i dati rubati per consentire agli utenti di Internet di sapere se le loro informazioni sensibili si trovano all'interno di un data breach.

Fonte: BleepingComputer

Ed è proprio il creatore del servizio, Troy Hunt, che a BleepingComputer ha dichiarato che il malintenzionato ha condiviso il database di autenticazione di Internet Archive nove giorni fa, un file SQL da 6,4 GB denominato "ia_users.sql". Il database contiene informazioni di autenticazione dei membri registrati, tra cui gli indirizzi email, nomi utente, i timestamp delle modifiche alle password, le password con hashtag Bcrypt e altri dati interni.

Sembrerebbe che il database sia stato sottratto il 28 settembre 2024, almeno quella è l'ultima data di un timestamp. Hunt ha confermato la presenza di 31 milioni di indirizzi email unici. I dati saranno presto aggiunti a HIBP, consentendoci di verificare se c'è anche la nostra email.

All'inizio della giornata, Internet Archive ha subito un attacco DDoS, rivendicato dal gruppo di hacktivisti BlackMeta, ma non è chiaro se i due fatti siano in qualche modo correlati.

18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
the_poet10 Ottobre 2024, 09:37 #1
Ecco perché ieri sera non so riusciva ad accedere.

Consiglio a tutti coloro che hanno un account di cambiare subito la password, usando magari un tool tipo Random Password Generator
giovanni6910 Ottobre 2024, 10:32 #2
C'è un'unica parola senza se e senza ma... criminali!
Klontz10 Ottobre 2024, 11:00 #3
E' quasi come sparare sulla Croce Rossa !!
marcram10 Ottobre 2024, 11:33 #4
Originariamente inviato da: the_poet
Consiglio a tutti coloro che hanno un account di cambiare subito la password, usando magari un tool tipo Random Password Generator

Beh, consigliare un tool proprietario online semisconosciuto per generare password, non è che sia il meglio...
Piuttosto, meglio usare quelli offline integrati nei password manager affidabili... O al massimo, quelli integrati nel browser, o su siti come Proton o Bitwarden...
nebuk10 Ottobre 2024, 11:41 #5
Non riesco più a star dietro ai siti che vengono bucati.

Esiste un tool che mi sincronizzi le password fra PC e iOS?
Su PC uso Edge, principalmente Safari su iOS.
marcram10 Ottobre 2024, 12:09 #6
Originariamente inviato da: nebuk
Non riesco più a star dietro ai siti che vengono bucati.

Esiste un tool che mi sincronizzi le password fra PC e iOS?
Su PC uso Edge, principalmente Safari su iOS.

Le password non andrebbero salvate sul browser...

Basta che usi un gestore di password online, tipo Bitwarden, e ti installi l'estensione sui due browser.
O ancora meglio, ma più difficile, un gestore di password offline, tipo Keepass, e sincronizzare il database tra i dispositivi. Ma purtroppo, per Safari non c'è l'integrazione...
the_poet10 Ottobre 2024, 12:12 #7
Originariamente inviato da: marcram
Originariamente inviato da: the_poet
Consiglio a tutti coloro che hanno un account di cambiare subito la password, usando magari un tool tipo Random Password Generator


Beh, consigliare un tool proprietario online semisconosciuto per generare password, non è che sia il meglio...
Piuttosto, meglio usare quelli offline integrati nei password manager affidabili... O al massimo, quelli integrati nel browser, o su siti come Proton o Bitwarden...


[OT]
Lo uso perché ha una opzione che nessun altro tool simile, che io sappia, offre: ti permette di esportare tramite url tutti i settaggi che ti servono, inclusa la combinazione di caratteri speciali (visto che per le password, in Italia, n-mila sistemi diversi hanno n-mila requisiti diversi ). Questa cosa la trovo comodissima.
[/OT]
lemming10 Ottobre 2024, 14:21 #8
Gestore di password online..direi di no. Magari bucano anche quello.
nebuk10 Ottobre 2024, 14:53 #9
Originariamente inviato da: marcram
Le password non andrebbero salvate sul browser...

Basta che usi un gestore di password online, tipo Bitwarden, e ti installi l'estensione sui due browser.
O ancora meglio, ma più difficile, un gestore di password offline, tipo Keepass, e sincronizzare il database tra i dispositivi. Ma purtroppo, per Safari non c'è l'integrazione...


In realtà ho 1Password, la vecchia versione che non prevedeva sottoscrizione, ma su iOS non mi funziona bene con Safari
marcram10 Ottobre 2024, 15:38 #10
Originariamente inviato da: nebuk
In realtà ho 1Password, la vecchia versione che non prevedeva sottoscrizione, ma su iOS non mi funziona bene con Safari

In effetti, sembra dia qualche problema con safari...
Magari prova con Bitwarden, o Proton Pass, che sono opensource, gratuiti, e molto consigliati...
Originariamente inviato da: the_poet
[OT]
Lo uso perché ha una opzione che nessun altro tool simile, che io sappia, offre: ti permette di esportare tramite url tutti i settaggi che ti servono, inclusa la combinazione di caratteri speciali (visto che per le password, in Italia, n-mila sistemi diversi hanno n-mila requisiti diversi ). Questa cosa la trovo comodissima.
[/OT]

Ah, ok. Però resta il fatto che non sai cosa ne fa poi, quell'azienda, delle password generate. Magari le salva in qualche elenco...
Come minimo, cambierei qualche carattere dopo averla generata...

Comunque sembra che alcune app, tipo Keepass, Keepassxc (dalla prossima versione), Bitwarden... diano la possibilità di creare dei "profili" personalizzati per la generazione delle password.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^