El portal de Internet Archive ha sido víctima de un ataque de denegación de servicio distribuido (DDoS) que ha provocado la filtración de una base de datos de autenticación con 31 millones de cuentas de usuarios. Este incidente ha puesto en riesgo la información personal de millones de personas, generando preocupación en torno a la seguridad de la plataforma.
Internet Archive, fundada en San Francisco en 1996, es una biblioteca digital sin ánimo de lucro que ofrece acceso gratuito a millones de textos, películas, programas de software, música y páginas web. Su herramienta más conocida, la Wayback Machine, permite a los usuarios acceder a versiones archivadas de sitios web desaparecidos.
El miércoles por la tarde, usuarios de archive.org reportaron haber visto una notificación emergente en JavaScript (JS), advirtiendo sobre una brecha de seguridad. La alerta mencionaba: «¿Alguna vez has sentido que Internet Archive está al borde de una catástrofe? Acaba de suceder. ¡Mira a 31 millones de usuarios de HIBP!», haciendo referencia a la plataforma Have I Been Pwned? (HIBP), que permite a los usuarios comprobar si sus cuentas han sido comprometidas en filtraciones de datos.
Troy Hunt, creador de HIBP, reveló a Bleeping Computer que había recibido un archivo SQL de 6,4 GB, titulado ‘ia_users.sql’, unos días antes del incidente. Este archivo contenía información confidencial de los usuarios de Internet Archive, incluidos nombres de usuario, direcciones de correo electrónico y contraseñas cifradas con Bcrypt.
Hunt confirmó que la base de datos contenía 31 millones de direcciones de correo electrónico, muchas de las cuales estaban suscritas a las notificaciones de HIBP. Además, informó que todas las direcciones afectadas se agregarían pronto a HIBP para que los usuarios pudieran verificar si sus datos habían sido expuestos.
Para corroborar la autenticidad de los datos filtrados, Hunt contactó a algunos de los usuarios mencionados en la base de datos, entre ellos el investigador en ciberseguridad Scott Helme, quien verificó que su contraseña Bcrypt filtrada coincidía con la almacenada en su administrador de contraseñas.
El 6 de octubre, Hunt se puso en contacto con Internet Archive para informar sobre el incidente, pero hasta el momento no ha recibido una respuesta oficial. Se desconoce aún cómo los atacantes lograron comprometer el servicio y si se extrajo información adicional.
Brewster Kahle, fundador de Internet Archive, confirmó el martes a través de su cuenta de X (anteriormente Twitter) que la plataforma había sido objeto de un ataque DDoS, en el cual los atacantes saturaron el sitio con tráfico malicioso, dejándolo fuera de servicio. El miércoles, Kahle informó que los ataques se habían repetido y que estaban trabajando para restablecer el servicio. También señaló que la filtración de nombres de usuario, correos electrónicos y contraseñas fue resultado de la desconfiguración del sitio web a través de la biblioteca JavaScript.
Para mitigar los daños, Internet Archive ha deshabilitado la biblioteca JS afectada, limpiado sus sistemas y lanzado actualizaciones de seguridad.
El grupo hacktivista BlackMeta, también conocido como DarkMeta, se atribuyó la responsabilidad del ataque, asegurando que había logrado interrumpir todos los sistemas de Internet Archive tras varios «ataques exitosos». Aunque Kahle no mencionó a BlackMeta directamente, confirmó la interrupción de los servicios archive.org y openlibrary.org, que permanecen fuera de línea. Kahle enfatizó que la prioridad es la seguridad de los datos, aunque esto implique sacrificar temporalmente la disponibilidad del servicio.
Este no es el primer ataque que sufre Internet Archive. Anteriormente, la plataforma fue blanco de un ataque DDoS prolongado, con «decenas de miles de solicitudes de información falsa», que también interrumpió su servicio, aunque en esa ocasión las colecciones de archivos no se vieron afectadas.