Pop-up JavaScript terlarang di Internet Archive menyatakan pada Rabu sore bahwa situs tersebut mengalami pelanggaran data besar. Beberapa jam kemudian, organisasi membenarkan kejadian tersebut.
Peneliti keamanan lama Troy Hunt, yang menjalankan situs web pemberitahuan pelanggaran data Apakah saya telah ditipu (HIBP) juga dikonfirmasi bahwa pelanggaran tersebut sah. Dia mengatakan itu terjadi pada bulan September dan harta karun yang dicuri berisi 31 juta alamat email unik bersama dengan nama pengguna, hash kata sandi bcrypt, dan data sistem lainnya. Komputer Tidur, yang pertama kali melaporkan pelanggaran tersebutjuga mengkonfirmasi keabsahan data.
Internet Archive tidak membalas banyak permintaan komentar dari WIRED.
“Pernahkah Anda merasa Internet Archive tidak berfungsi dan terus-menerus berada di ambang pelanggaran keamanan yang parah?” tulis para penyerang dalam pesan pop-up Internet Archive hari Rabu. “Itu baru saja terjadi. Lihat 31 juta dari Anda di HIBP!”
Selain pelanggaran dan perusakan situs, Internet Archive telah bergulat dengan gelombang serangan penolakan layanan terdistribusi yang kadang-kadang melumpuhkan layanannya.
Pendiri Internet Archive Brewster Kahle menyediakan a pembaruan publik pada Rabu malam dalam sebuah postingan di jejaring sosial X. “Yang kami ketahui: serangan DDOS—ditangkis untuk saat ini; perusakan situs web kami melalui perpustakaan JS; pelanggaran nama pengguna/email/kata sandi terenkripsi asin. Apa yang telah kami lakukan: Menonaktifkan perpustakaan JS, menghapus sistem, meningkatkan keamanan. Akan berbagi lebih banyak seperti yang kita tahu.” “Sistem scrubbing” mengacu pada layanan yang menawarkan perlindungan serangan DDoS dengan menyaring lalu lintas sampah berbahaya sehingga tidak membanjiri dan mengganggu situs web.
Internet Archive telah menghadapi serangan DDoS yang agresif beberapa kali di masa lalu, termasuk pada akhir Mei. Sebagai Kahle menulis pada hari Rabu: “Serangan DDoS kemarin terhadap @internetarchive terulang hari ini. Kami berupaya untuk menjadikan http://archive.org kembali online.” Kelompok hacktivist yang dikenal sebagai BlackMeta mengaku bertanggung jawab atas serangan DDoS minggu ini dan mengatakan pihaknya berencana melakukan lebih banyak serangan terhadap Internet Archive. Meski begitu, pelaku pelanggaran data tersebut belum diketahui.
Internet Archive telah menghadapi pertempuran di banyak bidang dalam beberapa bulan terakhir. Selain serangan DDoS yang berulang, organisasi ini juga menghadapi tantangan hukum yang semakin besar. Baru-baru ini perusahaan tersebut kalah dalam banding Hachette v. Arsip Internetgugatan yang diajukan oleh penerbit buku, yang menyatakan bahwa perpustakaan peminjaman digitalnya melanggar undang-undang hak cipta. Kini mereka menghadapi ancaman besar dalam bentuk gugatan hak cipta lainnya, kali ini dari label musik, yang dapat mengakibatkan kerugian hingga $621 juta jika pengadilan memutuskan menentang arsip.
Hunt dari HIBP mengatakan bahwa dia pertama kali menerima data Internet Archive yang dicuri pada tanggal 30 September, meninjaunya pada tanggal 5 Oktober, dan memperingatkan organisasi tersebut tentang hal tersebut pada tanggal 6 Oktober. Dia mengatakan bahwa kelompok tersebut mengkonfirmasi pelanggaran tersebut kepadanya pada hari berikutnya dan dia berencana untuk memuat data ke HIBP dan memberi tahu pelanggannya tentang pelanggaran tersebut pada hari Rabu. “Mereka dirusak dan terkena DDoS, tepat saat data dimuat ke HIBP,” Hunt menulis. “Waktu untuk poin terakhir tampaknya sepenuhnya kebetulan.”
Hunt juga menambahkan bahwa meskipun ia mendorong kelompok tersebut untuk mengungkapkan secara publik pelanggaran data itu sendiri sebelum pemberitahuan HIBP dikeluarkan, keadaan yang meringankan mungkin dapat menjelaskan penundaan tersebut.
“Tentu saja saya ingin melihat pengungkapan itu lebih awal, tetapi mengingat betapa mereka sedang diserang, saya pikir semua orang harus mengurangi kelonggaran mereka,” Hunt menulis. “Mereka adalah organisasi nirlaba yang melakukan pekerjaan luar biasa dan menyediakan layanan yang sangat kita andalkan.”
