Dünyanın en büyük dijital arşiv platformlarından biri olan Internet Archive siber saldırıya uğradı. Saldırı sonucunda 31 milyon kullanıcının kişisel verileri çalındı. Platform, hırsızlığı doğruladı.
2023 itibarıyla 800 milyardan fazla web sayfasının arşivlendiği, dünyanın en büyük dijital arşiv platformlarından biri olan Internet Archive’a siber saldırı düzenlendi.
İnternet sitesi, web sayfası, metin, ses kaydı, video, yazılım uygulaması vb. dijital materyali arşivleyen platforma düzenlenen saldırı sonucunda 31 milyon 81 bin 79 kullanıcının verileri çalındı.Platformun kullanıcı kimlik doğrulama veritabanının ele geçirildiği saldırıyla çalınan veriler arasında Internet Archive üyelerinin e-posta adresleri, kullanıcı adları, kripto hale getirilmiş parolaları ve parola değiştirme tarihleri yer aldı.
Saldırı, 9 Ekim’de archive.org’u ziyaret eden kullanıcılara iletilen bir uyarı metniyle fark edildi.Uyarı metninde “Internet Archive’ın çubuklar üzerinde çalıştığını ve sürekli olarak feci bir güvenlik ihlalinin eşiğinde olduğunu hiç hissettiniz mi? İşte az önce tam olarak bu oldu. 31 milyonunuzla HIBP’de (Have I been Pwned?) görüşmek üzere!’’ ifadeleri yer aldı.
Kullanıcı bilgilerinin yer aldığı veritabanındaki en son kaydın 28 Eylül 2024 tarihinde alındığı belirtilirken uyarı mesajından kısa bir süre sonra archive.org, site yöneticileri tarafından yayımdan kaldırıldı. Platformun kurucusu Brewster Kahle, verilerin çalındığını doğruladı ve İnternet Archive’ yönelik saldırıların sürdüğünü belirtti.
Saldırıyı BlackMeta üstlendi: Yıkıcı bir saldırıya uğrattık
Kimin tarafından yapıldığı bilinmeyen saldırıyı, akşam saatlerinde yaptığı açıklamayla “SN_BlackMeta” isimli grup üstlendi.
Kendilerini “Hacktivist” olarak tanımlayan grup Twitter hesabından açıklamada, şu ifadeleri kullandı:
“Internet Archive yıkıcı bir saldırıya uğradı ve uğramaya devam ediyor. Beş uzun saattir son derece başarılı saldırılar düzenliyoruz ve şu ana kadar tüm sistemleri tamamen çökmüş durumda.”
SN_BlackMeta, daha sonra bu tweeti düzenlendi ve “İkinci raunt | Yeni saldırı. 09/10/2024 Süre: 6 saat” ifadesini ekledi.
Devamında, internet sitelerinin çalışır durumda olup olmadığını gösteren check-host.net alınmış ve Internet Archive’ın kullanılamaz halde olduğunu gösteren ekran görüntüleri ve linkler de eklendi.“Veriler, bu ayın başında çalındı”
Bleeping Computer’a konuşan HIBP kurucusu dijital güvenlikçi Troy Hunt, saldırgan veya saldırganların, henüz ekim ayının başında, İnternet Archive’ın kimlik doğrulama veritabanının paylaştığını söyledi ve bunun “ia_users.sql” adlı 6.4 GB’lık bir SQL dosyası olduğunu belirtti
Hunt ayrıca, ele geçirilen e-posta adreslerinin yüzde 54’ünün daha önceki ihlallerden dolayı HIBP veritabanında bulunduğunu belirtti.
Hunt, siber güvenlik araştırmacısı Scott Helme de dahil olmak üzere çalınan veritabanında yer alan kullanıcılarla iletişime geçti ve verilerin gerçek olduğu doğrulandı. Helme, BleepingComputer’ın ifşa edilen kayıtlarını paylaşmasına izin verdi.
BleepingComputer, Helme ile iletişime geçerek çalınan verilerin gerçek olup olmadığını sordu ve Helme verilerinin çalındığını teyit etti. Helme, haberde yer vermeleri adına BleepingComputer ile çalınan veritabanındaki kendi verilerini de paylaştı.
Helme, veri kaydındaki kripto hale getirilmiş parolasının, kendi parola yöneticisinde saklanan kripto parolasıyla eşleştiğini doğruladı. Siber güvenlikçi, veritabanı kaydındaki zaman damgasının parola yöneticisinde parolayı en son değiştirdiği tarihle eşleştiğini de doğruladı.
Saldırganların Internet Archive’a nasıl sızdıkları ve başka veri veya verilerin çalınıp çalınmadığı henüz bilinmiyor.
Saldırı kontrol altına alınana kadar Internet Archive’dan kaçının
Dünyanın en popüler şifre yönetim programlarından 1Password’ün ürün başkanı Jason Meller ise konuyla ilgili olarak “Veritabanlarına sızılmış, bu da arka uç altyapısına erişilebildiğini gösteriyor. Bunun yanı sıra kayıtlı sayfalar da tahrif edilmiş, bu da saldırganların kullanıcılara sunulan web içeriği üzerinde kontrol sahibi olduğu anlamına geliyor” dedi.
Newseek’e konuşan Meller, “Internet Archive, defalarca kez çevrimdışı hale getirildi, bu da saldırganların ağ katmanında hakimiyet kazandıklarını gösteriyor. Bu, çoğumuzun güvendiği bir kaynak olan Internet Archive için şüphesiz zor ve zorlu bir dönem” diye konuştu
Meller, “Tavsiyem, Internet Archive’ın ‘her şeyin kontrol altına alındı’ açıklamasına kadar siteden elde edilen herhangi bir dosyaya göz atmaktan veya kullanmaktan kaçının” dedi.“SN_BlackMeta, Filistin yanlısı bir grup”
Siber güvenlik firması Radware, SN_BlackMeta’yı “Filistin yanlısı bir hacktivist hareket” olarak nitelendirdi. Temmuz ayında, SN_Blackmeta’nın Orta Doğu’daki bir finans kuruluşuna yönelik altı gün süren bir DDoS saldırısı hakkında bir rapor yazan Radware, grubun Hamas’ın 7 Ekim 2023’te İsrail’e düzenlediği saldırı ve İsrail’in askeri tepkisinin ardından ortaya çıktığını belirtti. Firma, grubun 14 Kasım 2023’te bir Telegram kanalı aracılığıyla ortaya çıktığını yazdı.
Radware araştırmacıları tehdit grubunun 14 Kasım 2023’te bir Telegram kanalı aracılığıyla ortaya çıktığını yazdı.Dijital güvenlik üzerine yayımlar yapan Security Boulevard’da yer alan habere göre SN_Blackmeta ortaya çıktıktan sonra bu yıl DDoS saldırılarında bir artış yaşandı. Şu ana dek İsrail, Kanada ve Suudi Arabistan’daki web sitelerinin yanı sıra Suudi Savunma Bakanlığı’na yönelik DDoS saldırıları yapıldı.
Mart ayında ise Fransız altyapı şirketlerinden İsrail’in Smart Shooter şirketine, İsrailli telekom şirketlerinden Tel Aviv Borsası’na kadar pek çok büyük şirkete saldırı yapıldı. SN_BlackMeta, nisan ayında da Birleşik Arap Emirlikleri’nin dijital altyapısı, İsrail’in bilimsel ve teknolojik web siteleri ve bir dizi Batılı kuruluşa odaklandı. Mayıs ve Haziran aylarındaysa grup, teknoloji devleri Microsoft, Yahoo ve Orange ile BAE altyapısına karşı saldırılar düzenledi.
Mart ayında, X’te kendilerini Sn-darkmeta olarak adlandıran bir kullanıcı SN_Blackmeta’nın lideri olduğunu söyledi. Bu kullanıcı, Telegram kanalında düzenledikleri saldırıların görüntülerini ve özetlerini yayımladı.
To request a quotation for the following: Cyber Security, Digital Transformation, MSSP, Penetration Testing, KVKK, GDPR, ISO 27001 and ISO 27701, please click here.