互聯網檔案館“時光機”遭襲，3100 萬密碼被盜

最近一次網絡安全漏洞致使 3100 萬個密碼失竊，此前有一名黑客侵入了互聯網檔案館的“時光倒流機器”，其中包含來自用戶認證數據庫的個人信息。

Bleeping Computer 是週三首家報道此消息的媒體，稱 archive.org 的訪問者收到了黑客創建的 JavaScript 警報，表明互聯網檔案館已被攻破。

據《福布斯》報道，該網站上的 JavaScript 警報顯示：“你是否曾覺得互聯網檔案館運行艱難，總是處於遭受災難性安全漏洞的邊緣？剛剛就發生了。在 HIBP 上能看到你們中的 3100 萬人！”

首字母縮寫“HIBP”意爲“我被入侵了嗎”，這是由該網站創始人特洛伊·亨特創建的數據泄露通知服務。該平臺允許用戶輸入他們的電子郵件地址，以檢查他們的信息是否已被黑客公開。然而，據 Bleeping Computer 稱，“威脅行爲者”也可以使用這個平臺分享被盜數據，這些數據可以添加到服務中。

亨特告訴 Bleeping Computer，威脅方在 10 月初與他們共享了一個 6.4GB 的數據庫。據他說，其中包含“註冊會員的認證信息，包括他們的電子郵件地址、網名、密碼更改的時間戳、Bcrypt 哈希式密碼和其他內部數據。”

此外，他透露該數據庫包含 3100 萬個唯一的電子郵件地址，其中許多屬於訂閱了 HIBP 通知服務的用戶。他們很快就能使用該平臺檢查他們的數據是否在最近的攻擊中被曝光。

數據庫中最新的時間戳是 9 月 28 日，Bleeping Computer 報道說這很可能就是泄露發生的時間。

《福布斯》報道稱，1Password 產品副總裁、前 Mandiant 首席安全策略師傑森·梅勒（Jason Meller）解釋說，由於該數據庫易於訪問，威脅行爲者得以成功入侵。

“數據庫已遭竊取，這表明後端基礎設施能夠被訪問，其頁面也已被篡改，這意味着攻擊者對提供給用戶的網絡內容有一定程度的掌控。”梅勒進一步表示，由於該網站多次下線，這表明攻擊者“在網絡層佔據了主導地位”，他在該媒體獲取的一份聲明中如此說道。

據《福布斯》報道，其他網絡安全專家指出，被泄露的個人信息與被盜密碼存在關聯，他們建議用戶儘可能讓密碼“獨特”。

據《福布斯》報道，數字圖書館員兼互聯網檔案館小組主席布魯斯特·卡勒（Brewster Kahle）週三在 X（之前稱爲 Twitter）上分享了一則最新消息，證實了用戶密碼和信息的最新泄露情況。

我們所瞭解的情況是：DDOS 攻擊——目前已抵禦住；通過 JS 庫對我們網站的篡改；用戶名、電子郵件、加鹽加密密碼的泄露。我們所採取的措施是：禁用了 JS 庫，清理了系統，提升了安全性。有更多情況瞭解後會分享。