Ein schwerwiegender Sicherheitsvorfall erschüttert die digitale Welt: Die beliebte Wayback Machine des Internet Archive wurde Opfer eines massiven Hackerangriffs. Cyberkriminelle konnten in die Systeme der gemeinnützigen Organisation eindringen und sensible Nutzerdaten von über 31 Millionen Konten erbeuten. Dieser Vorfall unterstreicht einmal mehr die ständige Bedrohung durch Cyberattacken und die Notwendigkeit robuster Sicherheitsmaßnahmen.
Anatomie des Angriffs: Wie die Hacker vorgingen
Am 9. Oktober 2024 bemerkten aufmerksame Besucher der Website archive.org ungewöhnliche JavaScript-Warnungen. Diese enthielten die provokante Botschaft der Angreifer: „Vam nikogda ne kazalos‘, chto Internet Archive rabotaet na chestnom slove i postoyanno nakhoditsya na grani katastroficheskogo narusheniya bezopasnosti? Imenno eto tol’ko chto proizoshlo.“ (Übersetzung: „Hatten Sie nie das Gefühl, dass das Internet Archive auf Treu und Glauben arbeitet und ständig am Rande einer katastrophalen Sicherheitsverletzung steht? Genau das ist gerade passiert.“) Dieser öffentliche Defacement-Angriff war jedoch nur die Spitze des Eisbergs.
Umfang und Art der kompromittierten Daten
Die Hacker erbeuteten eine SQL-Datenbankdatei (ia_users.sql) mit einem Volumen von 6,4 GB. Diese enthielt kritische Authentifizierungsinformationen von registrierten Nutzern, darunter:
- E-Mail-Adressen
- Benutzernamen
- Zeitstempel von Passwortänderungen
- Mit bcrypt gehashte Passwörter
- Interne Metadaten
Besonders alarmierend: Der letzte Eintrag in der gestohlenen Datenbank datiert vom 28. September 2024, was darauf hindeutet, dass der eigentliche Einbruch bereits zu diesem Zeitpunkt stattgefunden haben könnte.
Verifizierung und Analyse der Datenlecks
Der renommierte Cybersicherheitsexperte Troy Hunt, Betreiber des Dienstes „Have I Been Pwned“ (HIBP), bestätigte die Authentizität der gestohlenen Daten. Hunt erhielt den Datensatz direkt von den Angreifern und konnte die Echtheit durch Stichproben verifizieren. Ein prominentes Beispiel ist der Fall des Sicherheitsforschers Scott Helme, dessen kompromittierte Daten öffentlich analysiert wurden:
9887370, [email protected], $2a$10$Bho2e2ptPnFRJyJKIn5BiehIDiEwhjfMZFVRM9fRCarKXkemA3PxuScottHelme, 2020-06-25,2020-06-25,[email protected],2020-06-25 13:22:52.7608520,\N0\N\N@scotthelme\N\N\N
Helme bestätigte, dass sowohl der bcrypt-gehashte Passwort als auch der Zeitstempel der letzten Passwortänderung mit seinen eigenen Aufzeichnungen übereinstimmen. Dies unterstreicht die Brisanz und Aktualität der erbeuteten Daten.
Reaktion und Maßnahmen des Internet Archive
Brewster Kahle, Gründer des Internet Archive, reagierte auf den Vorfall via Social Media. Er bestätigte, dass die Organisation von der Datenpanne Kenntnis habe und umgehend Gegenmaßnahmen eingeleitet wurden:
- Deaktivierung der kompromittierten JavaScript-Bibliothek
- Umfassende Bereinigung der betroffenen Systeme
- Verstärkung der Sicherheitsmaßnahmen
Unklar bleibt jedoch, ob ein Zusammenhang zwischen dem Datenleck und einer kürzlich abgewehrten DDoS-Attacke besteht. Die genauen Umstände des Einbruchs sowie mögliche weitere Kompromittierungen sind Gegenstand laufender Untersuchungen.
Dieser Vorfall unterstreicht die immense Bedeutung proaktiver Cybersicherheitsmaßnahmen. Organisationen jeder Größe müssen kontinuierlich in robuste Sicherheitsinfrastrukturen investieren, um sensible Nutzerdaten zu schützen. Betroffene Nutzer des Internet Archive sollten umgehend ihre Passwörter ändern und die Zwei-Faktor-Authentifizierung aktivieren. Zudem empfiehlt es sich, das kompromittierte Passwort auf keinen anderen Diensten zu verwenden. Die Integration der Daten in HIBP ermöglicht es Nutzern, ihre potenzielle Betroffenheit zu überprüfen und entsprechende Schutzmaßnahmen zu ergreifen.
