Dünya çapında dijital içerik arşivleyen popüler internet platformu Internet Archive’ın “Wayback Machine” servisi, bir siber saldırı sonucu veri ihlali yaşadı. Bir tehdit aktörü, sitenin kullanıcı kimlik doğrulama veritabanını ele geçirerek 31 milyon benzersiz kaydın sızdırıldığını duyurdu. Olay, Çarşamba öğleden sonra, kullanıcıların archive.org sitesini ziyaret ettiklerinde bir JavaScript uyarı mesajı görmesiyle ortaya çıktı.

Saldırgan tarafından eklenen JavaScript uyarısı şu şekildeydi:
“Internet Archive’ın sürekli çökmenin eşiğinde, tahta çubuklarla çalıştığını hissettiniz mi? Şu an oldu. 31 milyon kişi HIBP’de!”
Buradaki “HIBP” ifadesi, Troy Hunt tarafından kurulan ve veri ihlallerini bildiren Have I Been Pwned servisine gönderme yapmaktadır. Siber suçlular, ele geçirdikleri verileri bu servisle paylaşarak kullanıcılara bilgilerini kontrol etme imkânı sunarlar.

İhlal Edilen Veritabanı: 6.4 GB SQL Dosyası

Troy Hunt, yaptığı açıklamada, tehdit aktörünün Internet Archive’ın kimlik doğrulama veritabanını dokuz gün önce kendisiyle paylaştığını ve bunun 6.4 GB boyutunda bir SQL dosyası olduğunu doğruladı. Dosyanın adı “ia_users.sql” ve içinde kayıtlı üyelerin kimlik doğrulama bilgileri yer alıyor. Bu bilgiler şunları içeriyor:

• E-posta adresleri
• Kullanıcı adları
• Şifre değiştirme zaman damgaları
• Bcrypt ile şifrelenmiş parolalar
• Diğer dahili veriler

Ele geçirilen verilerdeki son zaman damgası 28 Eylül 2024’ü gösteriyor. Bu da verilerin bu tarihte çalındığına işaret ediyor.

Hunt, veritabanında 31 milyon benzersiz e-posta adresi bulunduğunu ve birçoğunun HIBP veri ihlali bildirim servisine kayıtlı olduğunu belirtti. Bu veriler, kısa süre içinde HIBP’ye yüklenecek ve kullanıcılar e-posta adreslerini girerek verilerinin ihlal edilip edilmediğini kontrol edebilecekler.

Saldırının Gerçekliği Kanıtlandı

Hunt, verilerin gerçekliğini doğrulamak için listedeki kullanıcılardan bazılarına ulaştı. Bu kişiler arasında yer alan siber güvenlik araştırmacısı Scott Helme, kendi verilerinin de ihlal edilen kayıtlar arasında olduğunu doğruladı. Helme, bcrypt ile şifrelenmiş parolasının kendi şifre yöneticisinde sakladığıyla uyuştuğunu ve zaman damgasının, şifreyi en son değiştirdiği tarihle aynı olduğunu belirtti.

Helme’ye ait kayıt şu şekilde:

9887370, internetarchive@scotthelme.co.uk, $2a$10$Bho2e2ptPnFRJyJKIn5BiehIDiEwhjfMZFVRM9fRCarKXkemA3Pxu, 2020-06-25, internetarchive@scotthelme.co.uk, 2020-06-25 13:22:52.7608520

Bu veri kaydındaki detaylar Helme’nin kendi hesap bilgileriyle eşleştiği için sızan verilerin gerçekliği konusunda şüphe kalmadı.

İhlalin Detayları ve Yanıt Eksikliği

Hunt, Internet Archive ile üç gün önce iletişime geçerek bir bildirim süreci başlattığını ve verilerin 72 saat içinde HIBP’ye yükleneceğini belirtti. Ancak, bu süreçte Internet Archive’dan henüz bir geri dönüş alınmamış durumda. İhlalin nasıl gerçekleştiği veya başka verilerin de çalınıp çalınmadığı konusunda henüz kesin bir bilgi bulunmuyor.

DDoS Saldırısı ve BlackMeta Grubu

Bugün erken saatlerde, Internet Archive’a bir DDoS (Dağıtılmış Hizmet Reddi) saldırısı düzenlendi ve bu saldırıyı BlackMeta adlı hacktivist grup üstlendi. Grup, gelecekte daha fazla saldırı gerçekleştireceklerini açıkladı.

Sonuç: Kullanıcıların Internet Archive’da hesapları varsa, HIBP servisini kullanarak e-posta adreslerinin bu ihlalde yer alıp almadığını kontrol etmeleri önemle tavsiye edilir. Ayrıca, veritabanındaki parolaların bcrypt ile korunmuş olmasına rağmen, kullanıcıların şifrelerini güncellemeleri ve olası risklerden kaçınmaları önerilir.