Internet Archive unter Beschuss: Über 30 Millionen Nutzerdaten gestohlen

Das Internet Archive hat es sich zur Aufgabe gemacht, flüchtige Daten für die Nachwelt aufzubewahren: Webseiten, Bücher, aber auch historische Software, Apps und Filme. Die nach US-Recht gemeinnützige Organisation hat einen gewaltigen Datenschatz angesammelt. Nun wurde bekannt, dass Teile dieses Schatzes, nämlich die Zugangsdaten der Archive-Nutzer, in unbefugte Hände gerieten. Außerdem litt das Internet Archive in den vergangenen Tagen unter einem dDoS und einer Defacement-Attacke.

Bereits im September diesen Jahres haben Angreifer sich Zugriff auf interne Systeme des Archives verschafft und die Mitgliederdatenbank kopiert. Neben Benutzername und E-Mail-Adresse erbeuteten die Cyberkriminellen auch die mittels "bcrypt" gehashten Passwörter der archive.org-Konten. Obgleich die meisten Inhalte des Internet-Archivs auch ohne Zugang abrufbar sind, wird für die virtuelle Ausleihe von Medien, etwa E-Books oder Filmen, und für weitere Funktionen ein Konto benötigt.

Am 30. September wurde die Nutzerdatenbank Troy Hunt, dem Betreiber des Dienstes "Have I been pwned" (HIBP) zugespielt, der jedoch auf Reisen war und erst knapp eine Woche später das Internet Archive darüber in Kenntnis setzte. Er spielte die Daten in seine Datenbank "geownter" Nutzerkonten ein, mit dem Ziel, seine Abonnenten innerhalb von 72 Stunden zu informieren.

Das geschah nun in der Nacht zum Donnerstag. HIBP informierte Betroffene per E-Mail über den Datenklau. Obgleich die Zugangspasswörter im "bcrypt"-Verfahren gehasht sind und dieses relativ sicher gegen Cracking und Brute-Force-Angriffe ist, sollten Nutzer des Internet Archive ihr Kennwort vorsichtshalber ändern.

Passwort ändern! Aber wie?

Das wäre zumindest am gestrigen Mittwoch leichter gesagt als getan gewesen, denn das Internet Archive litt unter einem dDoS-Angriff, der viele Nutzer aussperrte. So meldet der Überwachungsdienst Downdetector zwischen 18:30 und 02:00 CEST starke Störungen, auch das Archiv selbst bestätigte Angriffe am Dienstag und Mittwoch. Besonders ärgerlich ist der Ausfall, da erst vor wenigen Wochen Google die "Wayback Machine" des Archivs als Ersatz für die im Februar abgeschaffte Cache-Funktion angekündigt hatte.

Und als sei all dies Ungemach nicht genug, erwartete Nutzer, die es an der Datenflut vorbei auf die Startseite von archive.org schafften, ein seltsames Popup. Ob man nicht auch das Gefühl habe, das Internet Archive sei ständig am Rande eines katastrophalen Sicherheitsvorfalls, fragte ein offenbar mittels JavaScript eingeschleuster Textkasten. Die seltsam prophetische Frage konnten jedoch zu diesem Zeitpunkt nur Troy Hunt und die Betreiber des Internet Archive bejahen, war der Datenverlust doch noch nicht öffentlich bekannt geworden.

Ursache des "Defacement", also der Verunstaltung der Webseite, war offenbar ein Supply-Chain-Angriff: Wie Brewster Kahle vom Betreiberteam des Internet Archive bestätigte, hatten Angreifer eine extern eingebundene Version der "Polyfill"-Bibliothek gekapert und mit etwas zusätzlichem, glücklicherweise jedoch gutartigen, JavaScript-Code versehen.

Verursacher unklar

Vermutlich stehen alle drei Angriffe in keinem direkten Zusammenhang. In einer Auflistung der Ereignisse mutmaßt Troy Hunt, diese hätten nur zufällig gleichzeitig stattgefunden. Wer die Webseite des Internet Archive verunstaltet hat und mit welcher Motivation die Nutzerdatenbank des gemeinnützigen Dienstes abgezogen wurde, ist zur Stunde unklar. Der dDoS-Angriff hingegen wird von einer Gruppe reklamiert, die sich in ihrem Telegram-Kanal als Kämpfer gegen das "weltweite zionistische Regime" bezeichnet.

(cku)