دمشق (هذا اليوم)- شنّت مجموعة مرتبطة بحركة هاكرز مؤيدة لفلسطين هجومًا إلكترونيًا "كارثيًا"، كشفت من خلاله عن تفاصيل تخص 31 مليون شخص، مما أدى إلى تسريب عناوين البريد الإلكتروني وأسماء المستخدمين.
وقد أعلن حساب على منصة X تحت اسم SN_BlackMeta مسؤوليته عن الهجوم على "أرشيف الإنترنت"، وهي منظمة غير ربحية، وألمح إلى هجمات مستقبلية. يُعرف "أرشيف الإنترنت" بمكتبته الرقمية وخدمة "آلة العودة" (Wayback Machine). سبق ربط SN_BlackMeta بهجوم سابق على مؤسسة مالية في الشرق الأوسط هذا العام، وقد أفادت شركة أمنية بأن المجموعة لها صلة بحركة هاكرز مؤيدة لفلسطين.
كما تم تسريب كلمات مرور مشفرة، ورغم أنها تعتبر آمنة نسبيًا، إلا أنه نُصح المستخدمون بتغيير كلمات مرورهم كإجراء احترازي، وهو ما أكده القسم التقني في هذا اليوم ايضاً.
رافق هذا الاختراق سلسلة من هجمات "الحرمان من الخدمة" (DDoS) التي أدت إلى تعطل موقع المنظمة، archive.org، يوم الأربعاء، ولا يزال الموقع يعاني من تأثيرات الهجوم. كما أن خدمة "آلة العودة" (Wayback Machine) غير متاحة حاليًا.
أكد بروستر كاهل، مؤسس "أرشيف الإنترنت" وأمينه الرقمي، حدوث الاختراق وأشار إلى استمرار الهجمات.
في منشور على X (تويتر سابقًا)، قال كاهل: "ما نعرفه: هجوم DDoS – تم التصدي له مؤقتًا؛ تشويه موقعنا عبر مكتبة JS؛ اختراق أسماء المستخدمين والبريد الإلكتروني وكلمات المرور المشفرة. ما قمنا به: تعطيل مكتبة JS، تنظيف الأنظمة، تعزيز الأمان. سنشارك المزيد عندما نعرفه". تأسس "أرشيف الإنترنت" عام 1996 بهدف توفير "وصول عالمي إلى المعرفة"، ويشمل مليارات من صفحات الويب والنصوص والتسجيلات الصوتية والفيديوهات والتطبيقات البرمجية.
تُعد خدمة "آلة العودة" (Wayback Machine) الأكثر استخدامًا في الأرشيف، حيث تتيح للمستخدمين تصفح نسخ مؤرشفة من المواقع كما ظهرت في فترات زمنية مختلفة، مع لقطات لصفحات الويب تعود إلى بدايات الإنترنت.
في 9 أكتوبر، تفاجأ زوار موقع "أرشيف الإنترنت" برسالة منبثقة تفيد بأن الموقع قد تم اختراقه. وذكرت الرسالة: "هل شعرت يومًا أن أرشيف الإنترنت يعمل على أعواد ويكون دائمًا على وشك التعرض لاختراق أمني كارثي؟ لقد حدث ذلك للتو. نلتقي بـ31 مليون منكم على HIBP!" في إشارة إلى موقع "هل تم اختراق حسابي؟" (Have I Been Pwned?)، وهي خدمة معروفة تتيح للمستخدمين التحقق مما إذا كانت بياناتهم الشخصية قد تم اختراقها في تسريبات معروفة.
أكد تروي هانت، مؤسس HIBP، لموقع "بيبينغ كمبيوتر" أنه تلقى قاعدة بيانات تحتوي على عناوين بريد إلكتروني وأسماء مستخدمين وكلمات مرور مشفرة باستخدام bcrypt وبيانات أخرى داخلية تخص 31 مليون عنوان بريد إلكتروني مرتبط بـ"أرشيف الإنترنت".
أشار هانت عبر منشور على X إلى تواصله مع "أرشيف الإنترنت" حول الاختراق. وكتب: "كنت على اتصال مع الأرشيف خلال الأيام القليلة الماضية بخصوص الاختراق، ولم أكن أعلم أن الموقع قد تم تشويهه إلا عندما أبلغني الناس بذلك للتو. المزيد قريبًا". كما أشار إلى أن 54% من عناوين البريد الإلكتروني المخترقة كانت موجودة سابقًا في قاعدة بيانات HIBP من تسريبات سابقة.
بعد ثماني ساعات من منشور كاهل، يبدو أن موقع archive.org غير متاح مرة أخرى.
دور مجموعة الهاكرز SN_BlackMeta أعلنت SN_BlackMeta، التي ادعت مسؤوليتها عن الهجوم، عن ارتباطها بهجمات أخرى، بما في ذلك هجوم DDoS ضد مؤسسة مالية في الشرق الأوسط هذا العام.
ظهرت المجموعة في نوفمبر 2023، واستهدفت "أرشيف الإنترنت" بهجوم DDoS في مايو 2024. واستمرت الهجمات ضد المؤسسة المالية في الشرق الأوسط لستة أيام باستخدام خدمة DDoS مدفوعة تُعرف باسم InfraShutdown.
ربطت شركة الأمن السيبراني Radware SN_BlackMeta بحركة هاكرز مؤيدة لفلسطين تستخدم خدمات DDoS مثل InfraShutdown.
في منشورات على X بتاريخ 9 أكتوبر، قالت SN_BlackMeta: "يعاني أرشيف الإنترنت من هجوم مدمر. لقد شننا عدة هجمات ناجحة للغاية لمدة خمس ساعات طويلة، وحتى هذه اللحظة، جميع أنظمتهم معطلة تمامًا."
وأضاف الحساب: "الجولة الثانية | هجوم جديد. 09/10/2024 لمدة 6 ساعات"، وربط بسلسلة من تقارير الحالة على موقع check-host.net، التي أظهرت عدة حالات انقطاع اتصال لموقع "أرشيف الإنترنت".
وأرفق تعليق على المنشور على X: "أضاف القراء سياقًا قد يرغب الناس في معرفته. تدعي هذه المجموعة أنها أسقطت أرشيف الإنترنت لأنه "يتبع للولايات المتحدة ... التي تدعم إسرائيل"، وهذا غير صحيح. الأرشيف ليس حكوميًا أمريكيًا، بل هو منظمة غير ربحية تتضمن العديد من الموارد المتعلقة بفلسطين، والتي لا يمكننا الوصول إليها الآن بسبب هذا الهجوم."
تفاصيل اختراق بيانات "أرشيف الإنترنت" تم إبلاغ مستخدمي "أرشيف الإنترنت" المشتركين في "هل تم اختراق حسابي؟" بالاختراق مساء الأربعاء عندما تلقوا بريدًا إلكترونيًا بعنوان "أنت واحد من بين 31,081,179 شخصًا تعرضوا للاختراق في أرشيف الإنترنت". وجاء في البريد الإلكتروني أنه "في سبتمبر 2024، تعرضت المكتبة الرقمية لمواقع الإنترنت أرشيف الإنترنت لاختراق أدى إلى كشف 31 مليون سجل. تم تسريب سجلات المستخدمين بما في ذلك عناوين البريد الإلكتروني وأسماء المستخدمين وكلمات مرور مشفرة باستخدام bcrypt".
يبدو أن البيانات المسربة تم الحصول عليها من خلال استغلال مكتبة JavaScript استخدمها "أرشيف الإنترنت"، مما سمح للمهاجم بتشويه الموقع وعرض رسالة منبثقة.
تتضمن قاعدة البيانات، وهي ملف SQL بحجم 6.4 غيغابايت باسم "ia_users.sql"، سجلات حتى 28 سبتمبر 2024، مما يشير إلى أن الاختراق حدث في ذلك الوقت تقريبًا.
أكد الباحث في الأمن السيبراني سكوت هيلم صحة البيانات بعد مطابقة معلومات حسابه مع التفاصيل الموجودة في قاعدة البيانات المسربة. وأشار هيلم إلى أن كلمة المرور المشفرة بـbcrypt الموجودة في البيانات تتطابق مع كلمة المرور المشفرة المخزنة في مدير كلمات المرور الخاص به، وأن الطوابع الزمنية تتوافق مع سجلاته. تُعتبر كلمات المرور المشفرة بـbcrypt آمنة للغاية، حيث يصعب على أي شخص الحصول على كلمات المرور الأصلية من هذه الصيغ المشفرة.
ما يعنيه هذا الاختراق لمستخدمي "أرشيف الإنترنت" يُعد الاختراق مصدر قلق كبير للمستخدمين الذين لديهم حسابات مسجلة على "أرشيف الإنترنت". تشمل المعلومات المكشوفة عناوين البريد الإلكتروني وأسماء المستخدمين وكلمات المرور المشفرة.
ورغم قوة خوارزمية bcrypt، نُصح المستخدمون بتغيير كلمات مرورهم كإجراء احترازي، خاصة إذا كانوا يستخدمون نفس كلمة المرور على مواقع أخرى.
نتيجة لهجمات DDoS، يعاني موقع "أرشيف الإنترنت" من انقطاع كبير، حيث تصبح الخدمات غير متاحة بشكل مؤقت. وقد وجهت المنظمة المستخدمين إلى حساباتها على وسائل التواصل الاجتماعي للحصول على تحديثات أثناء فترة الانقطاع.
سبق لـ"أرشيف الإنترنت" أن تعرض لهجمات إلكترونية. ففي مايو الماضي، ادعت نفس المجموعة مسؤوليتها عن هجمات DDoS استهدفت تعطيل خدمات الأرشيف. وعلق جايسون سكوت، أمين الأرشيف ومنسق البرامج في "أرشيف الإنترنت"، على هذه الهجمات، مشيرًا إلى أنها بدت وكأنها نُفذت "فقط لأنهم يستطيعون ذلك".