1P by GN⁺ | ★ favorite | 댓글 1개
  • Internet Archive 방문자에게 사이트 변조 팝업이 표시되고 DDoS 공격도 이어지면서, 3,100만 계정 정보가 노출됐다는 경고가 공개됨
  • 창립자 Brewster Kahle는 9PM ET 직후 침해를 확인하고, 알림이 JavaScript 라이브러리를 통해 웹사이트에 삽입됐다고 밝힘
  • Have I Been Pwned 운영자 Troy Hunt는 9일 전 받은 파일에 3,100만 개 고유 이메일 주소가 있었고, 이를 사용자 계정 데이터와 대조해 유효성을 확인함
  • 유출 파일에는 이메일 주소, 화면 이름, 비밀번호 변경 타임스탬프, Bcrypt 해시 비밀번호, 기타 내부 데이터가 포함됐으며, 계정의 54%는 이전 침해로 이미 HIBP에 있었음
  • 팝업을 닫으면 사이트가 느리게 로드됐지만, 5:30PM ET 기준으로는 팝업이 사라진 대신 사이트가 비어 있거나 임시 오프라인 안내만 표시됨

사이트 변조와 침해 확인

  • 수요일 오후 Internet Archive 방문 시 사이트가 해킹됐다고 알리는 팝업 메시지가 표시됨
  • 팝업에는 Internet Archive가 “막대기로 돌아가는 것처럼 보이고 catastrophic security breach 직전처럼 느껴진 적 있냐”는 문구와 함께 “31 million of you on HIBP”라는 내용이 담김
  • 9PM ET 직후 Internet Archive 창립자 Brewster Kahle는 침해를 확인하고, 웹사이트가 JavaScript 라이브러리를 통해 해당 알림으로 변조됐다고 밝힘

HIBP에 전달된 계정 데이터

  • HIBP는 Have I Been Pwned의 약자로, 사용자가 사이버공격으로 유출된 데이터에 자신의 정보가 포함됐는지 확인할 수 있는 서비스임
  • HIBP 운영자 Troy Hunt는 BleepingComputer에 9일 전 3,100만 개 고유 이메일 주소가 포함된 파일을 받았다고 확인함
  • 파일에는 다음 정보가 포함됨
    • 이메일 주소
    • 화면 이름
    • 비밀번호 변경 타임스탬프
    • Bcrypt 해시 비밀번호

      • 기타 내부 데이터
      • Hunt는 해당 데이터를 사용자 계정과 대조해 유효성을 확인함

공개 절차와 DDoS가 겹친 시점

  • HIBP의 게시물에 따르면 유출 계정의 54% 는 이전 침해로 이미 HIBP 데이터베이스에 존재했음
  • Troy Hunt는 자신의 계정에서 공개 일정도 공유함
    • 10월 6일 Internet Archive에 침해 사실을 연락함
    • 공개 절차를 진행함
    • HIBP에 데이터를 적재해 영향받은 사용자에게 알림을 보내려던 시점에 사이트 변조와 DDoS가 동시에 발생함

사이트 접근 상태 변화

  • 팝업을 닫은 뒤 사이트는 정상적으로 로드됐지만 느리게 동작
  • 5:30PM ET 기준 팝업은 사라졌으나 사이트도 함께 사라진 상태였음
  • 방문자에게는 아무것도 표시되지 않거나 “Internet Archive services are temporarily offline”이라는 임시 오프라인 안내가 표시됐고, Internet Archive의 계정으로 안내됨

댓글과 토론

Hacker News 의견들
  • 개인정보 관점에서 보면, IA에 뭔가를 업로드한 적이 있는 사람은 이미 이메일 주소가 공개 메타데이터에 노출되어 있다는 점도 중요함
    흔히 알려진 사실은 아니지만, 공개로 볼 수 있는 모든 업로드 메타데이터에는 업로더의 IA 계정 이메일이 들어 있음
    보안 관점에서도 나쁘지만, 업로드 경험이 있는 많은 사용자는 이 세부 사항을 모르고 있었을 가능성이 큼

    • 흥미로운 질문이 생김: 이메일 주소는 비공개여야 하나? 건물 주소는 비공개가 아니고, 여러 컴퓨팅 개념처럼 어느 정도 유사하다고 볼 수도 있음
      스팸 필터가 좋아지기 전에는 주소 수집을 막으려고 약간 난독화하는 일이 흔했지만, 그 시절은 지난 듯하고 이는 개인정보와도 별개의 문제임
      누군가 업로드 후 절대 추적되고 싶지 않다면 어차피 일회용 주소를 써야 함
      서비스 관리자에게 “비공개” 주소를 제공하면서 추가 공개를 명시적으로 금지하지 않았다면, Alice에게 한 말을 Bob에게 전하지 말라고 요구하지 않은 것과 비슷하게 볼 수 있음
    • 업로드뿐 아니라 이메일 주소를 고유 사용자 식별자로 쓰는 모든 항목이 해당됨
      업로드의 XML뿐 아니라 프로필에도 이메일 주소가 들어가며, 누구나 URL을 https://archive.org/details/@foobar에서 https://archive.org/download/foobar로 바꾸기만 해도 접근 가능함
      즉 업로드 여부와 무관하게 등록 계정만 있으면 노출될 수 있음
      https://help.archive.org/help/accounts-a-basic-guide-2/
    • 이것만으로도 충분히 나쁨. 이 자체가 개인정보 버그이자 데이터 유출
      이론적으로 누군가 페이지를 긁어 노출된 이메일 주소 목록을 만들 수 있음
    • 한 가지 해법은 사이트마다 고유 이메일 주소를 쓰고, 사이트가 침해되면 그 주소를 바꾼 뒤 기존 주소는 스팸 필터에 넣는 것임
  • 예전 친구의 웹사이트를 Internet Archive에서 내려받아 다시 올렸음
    그는 세상을 떠났지만, 그 사이트를 되살릴 수 있어서 다행이었음
    IA가 영구히 사라진다면 안타깝겠지만, 어쨌든 분산형 해법이 필요함
    우리의 집단 유산을 하나의 거대 조직이 관리하는 구조는 좋은 생각이 아님

    • 늘 이런 생각을 해왔음. 인터넷에 연결된 기기에 사용자가 소량의 중복 데이터 조각을 저장하게 하면 흥미로울 것 같음
      토렌트와 매우 비슷하지만, 전체 복사본을 가진 시드보다 더 많은 피어와 더 많은 데이터 조각을 두는 방식임
      모두를 위한 거대한 데이터베이스를 유지하고, 당연히 오픈소스로 만들며, Tor처럼 보안 패치로 네트워크를 돕되 전체 네트워크에 대한 실제 “관리자 대시보드식 통제”는 없는 형태가 될 수 있음
      웹사이트 정적 파일 캐싱으로 더 작은 규모의 비슷한 일을 이미 하고 있지만, 훨씬 작은 수준임
      보안상 어려움은 매우 크겠지만 극복 불가능하진 않을지도 모름. IPFS가 가깝지만 다시 시드 중심에 가까움
      이런 것과 비슷한 걸 아는 사람이 있으면 듣고 싶음
    • 그래서 BitTorrent와 다른 P2P 해법들이 발명됐지만, 현실은 이렇다: RIAA, MPAA, ESA가 이 기술들에 끔찍한 평판을 씌웠고, 아무도 시드 유지를 좋아하지 않음
      암호화폐가 이미 악마화되지 않았다면, 시딩 기반 암호화폐 같은 인센티브가 훌륭했을 수도 있음
    • 그게 바로 토렌트 프로토콜이고, 잘 안 됨
      몇몇 사람만 신경 쓰는 영화나 책을 호스팅하는 데 돈과 대역폭을 쓰고 싶어 하는 사람이 없음
    • 오래된 사이트를 위해 이런 걸 계속 해보고 싶음. 개인용 미니 IA 같은 것임
      wget이나 curl을 쓰는 것 말고, IA에서 사용 가능한 완전한 웹사이트를 내려받는 팁이 있을까?
    • 특히 이미 항상 공정하지는 않다는 모습을 보인 조직이라면 더더욱 한 곳에 맡기면 안 됨
  • 데이터 침해에 대한 추가 정보가 여기 있음. 도난당한 데이터베이스에는 3,100만 개 레코드가 들어 있음
    https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/

    • 공격자들이 훔친 데이터를 Troy Hunt가 만든 Have I Been Pwned에 자주 공유한다고 하는데, 정말 그런가? 왜 그러지?
    • HIBP에 곧 추가된다고 하지만, archive.org 전용으로 만든 내 이메일 주소는 아직 나오지 않음
    • 궁금한 건 Scott Helme가 어떻게 자기 이름이 들어간 비밀번호 해시를 받게 됐느냐는 것임
    • 이런 데이터베이스 유출이 생겨도 그 사이트 외에는 문제되지 않도록, 계정마다 고유한 비밀번호를 생성하라는 친절한 알림임
  • 방금 보니 사이트가 이런 경고를 띄움:
    “Internet Archive가 막대기로 굴러가고 있고 언제든 재앙적 보안 침해를 겪을 것 같다고 느낀 적 있나요? 방금 일어났습니다. HIBP에서 3,100만 명의 여러분을 보겠습니다!”

    • 웃기게도 난 이미 HIBP에 셀 수 없이 많이 올라가 있음
    • 악의적 행위자라면 계정 이메일과 이름이 유출된다고 보면 되나?
    • 이게 진짜 경고인지, 아니면 해킹 흔적인지 모르겠음
      친근하거나 유머를 시도한 오류 메시지는 때때로 구분하기 어려움
  • 누군가 Polyfill용 하위 도메인 하나를 침해한 것처럼 보임
    업데이트: 지금은 하위 도메인이 다시 정상 응답을 반환하는 듯함

    • IA가 어떤 하위 도메인에서 JavaScript 폴리필을 포함했고, 그게 침해됐거나 경고가 나온 경로라는 뜻인가?
    • 그러면 JavaScript 경고 팝업을 어떻게 주입했는지 어느 정도 설명될 수 있겠음
  • 이런 장난을 친 사람에게 저주가 실제로 통하길 바라게 되는 순간임
    “그대와 그대의 후손이 악행의 벌로 1만 마리 벼룩에게 1만 밤 동안 물리기를”

  • 지금 말하기에 좋은 때는 아니겠지만, 항목이 있는 컬렉션을 훑으면서 사용자명과 함께 모든 이메일을 가져오는 게 놀랄 만큼 쉬움
    https://archive.org/metadata/naturally_a_girl/metadata
    어떤 식으로든 사용자명에 붙은 이메일을 대량으로 가져가는 사람은 결국 나왔을 것임
    해커가 어떻게 데이터베이스를 침해하고 비밀번호를 얻었는지는 조금 궁금함

    • 이런 건 전혀 몰랐음. 이메일이 공개라는 걸 알았다면 분명 몇 가지를 다르게 했을 것임
      솔직히 설계 결함처럼 보임
    • 맞음, 이메일 관련 우려는 계속 무시해 왔음
      https://github.com/internetarchive/iaux/issues/892
  • 왜 하필 Internet Archive를 노리나. 다른 걸 노리지, 빌어먹을 아카이브는 건드리지 말아야지

    • 모두가 쉽게 접근할 수 있는 어떤 형태의 분산형 아카이브가 필요함
  • 이 스레드가 이 사건이 기록되는 첫 장소 중 하나가 될 듯함. Google 최상단에 보이는 것 같음
    이미 이 일 때문에 새로 만든 계정이 둘 있음

    • 둘보다 더 많이 보임
    • 여기저기 찾아봤지만 아무 데도 언급이 없어서, 방금 막 일어난 일이라는 걸 깨달았음
  • 몇 년 동안 IA 계정을 Gmail 주소로 써 왔고, 9개월 전에 내 도메인으로 만든 마스킹 주소로 이메일을 바꿨음
    그런데 지금 보니 내 Gmail 주소가 여전히 저장되어 있었고 유출에 포함됐음. 왜 그럴까?
    변경 이력을 저장할 수 있다는 건 이해하지만, 왜 보관해야 하지?
    현재 계정 정보는 비밀번호를 비밀번호 관리자가 생성한 다른 무작위 문자열로 바꿨고, 마스킹 이메일 주소도 삭제한 뒤 새로 만들었음
    앞으로는 이런 일이 내게 큰 문제는 아닐 것임

    • 비슷한 상황이었음. 처음엔 주 계정으로 가입했다가 나중에 IA 이메일을 더 개인적인 주소로 바꿨음
      HaveIBeenPwned에서 제일 먼저 확인한 게 첫 이메일이었는데 이번 유출에는 나오지 않음
      IA 전용 이메일과 비밀번호를 쓰는 다른 몇 개 계정은 모두 이번 유출에 제대로 표시됨
      왜 그런 상황이 생겼는지는 설명할 수 없지만, 나도 바로 그 생각을 했고 반대되는 사례도 남기고 싶었음
    • 침해가 보고된 것보다 더 이른 시점에 있었거나, 더 오래 진행됐을 가능성도 있음