Het internetarchief was onlangs het doelwit van een datalek waarbij informatie over 31 miljoen gebruikers openbaar werd gemaakt, waaronder onder meer hun gebruikersnamen en e-mailadressen. De groep SN_Blackmeta heeft eiste de verantwoordelijkheid op voor een gelijktijdige DDoS-aanval die de site offline haalde. De partij die verantwoordelijk is voor het datalek is nog niet geïdentificeerd.
Het non-profit internetarchief speelt een cruciale rol in de onlinecultuur, door het behoud van webinhoud en ander gedigitaliseerd materiaal en het exploiteren van de populaire Wayback Machine, waarmee bezoekers historische versies van websites kunnen zien.
Het is nog niet duidelijk hoe het datalek heeft plaatsgevonden, hoewel sommigen in de informatiebeveiligingsgemeenschap hebben gespeculeerd dat inloggegevens voor de servers van het Internet Archive mogelijk zijn gevonden in de logboeken van ‘informatiesteler’-malware, die gevoelige informatie uit geïnfecteerde systemen exfiltreert.
Het recente datalek is niet de enige manier waarop e-mailadressen van Internet Archive-gebruikers online kwetsbaar zijn geweest. Al meer dan tien jaar openbaart het Internetarchief de e-mailadressen van iedereen die een bestand naar zijn bibliotheek heeft geüpload, ondanks de bewering dat het met niemand de e-mailadressen van uploaders deelt.
Wanneer inhoud wordt geüpload naar het internetarchief, wordt er automatisch een metadatabestand gegenereerd dat een verscheidenheid aan informatie over de inhoud bevat, zoals de uploaddatum, een door de gebruiker ingevoerde beschrijving van de bestandsinhoud, evenals het onderwerp en het mediatype. Naast deze metagegevens is er echter een veld ‘uploader’ waarin het e-mailadres van de uploader wordt weergegeven. Het metadatabestand is openbaar zichtbaar door op de link ‘Alles weergeven’ te klikken die zichtbaar is op de hoofdpagina van geüploade inhoud. De metadata zijn ook toegankelijk door naar een specifieke metadata-URL voor het bestand te gaan.
Gebruikers uiten al meer dan tien jaar hun zorgen over de zichtbaarheid van e-mailadressen op Internet Archive. Op zijn eigen site stelt het internetarchief, in antwoord op de vraag ‘Hoe kan ik contact opnemen met de persoon/groep die een item heeft geüpload?’, dat het ‘geen contactgegevens voor klanten kan vrijgeven’. Op dezelfde manier legt het Internet Archive in een sectie van zijn gids met de titel “Waarom heb je mijn e-mailadres nodig?” uit dat het e-mailadressen nodig heeft om accounts te verifiëren, gebruikers in staat te stellen in te loggen op accounts, te helpen bij het herstellen van wachtwoorden en om meldingen te ontvangen. Het Archief gaat verder met “beloof dat we uw gegevens met niemand zullen delen.”
Ondanks deze garanties lijkt het internetarchief echter gemakkelijk het e-mailadres van inhouduploaders te onthullen, waarbij ondersteuningsverzoeken worden genegeerd van gebruikers die het probleem al jaren signaleren. In 2013 plaatste een gebruiker een bericht op de ondersteuningsforums van het Archief waarin hij erop wees dat informatie van de uploader, met name het e-mailadres van de uploader, beschikbaar werd gesteld in een metadatabestand dat het Archief voor elke upload genereerde. Het bericht heeft van niemand bij het Archief een reactie ontvangen.
In 2024 plaatste een andere gebruiker een probleem op de GitHub-pagina van het Internet Archive, verwijzend naar het eerdere bericht uit 2013 en op soortgelijke wijze gedetailleerd over het feit dat e-mails van uploaders openbaar zichtbaar zijn. “Er staat niets op de website dat gebruikers waarschuwt dat hun e-mailadressen openbaar zullen worden gemaakt”, aldus het bericht. Het beschrijft dit vervolgens als “verraad aan de privacy van uploaders.” Zelfs als gebruikers vervolgens het e-mailadres dat aan hun account was gekoppeld, hadden bijgewerkt, onthulden oudere uploads nog steeds het e-mailadres dat aan het account was gekoppeld op het moment van de upload, merkte de gebruiker op. Net als bij het eerdere bericht uit 2013 heeft niemand van het internetarchief publiekelijk gereageerd op de kwestie.
Het internetarchief reageerde niet onmiddellijk op vragen over de inbreuk of over waarom e-mails van uploaders openbaar worden gemaakt, ondanks documentatie waarin staat dat e-mails van uploaders met niemand worden gedeeld.
Om de negatieve impact van potentiële accountlekken te beperken, moeten gebruikers voor elk van hun accounts een uniek, willekeurig wachtwoord hebben, zodat aanvallers, als er een inbreuk op een bepaalde service zou plaatsvinden, niet hetzelfde wachtwoord kunnen gebruiken om te proberen om toegang te krijgen tot andere accounts, in wat bekend staat als een credential stuffing-aanval. In dit geval werden de wachtwoordmaterialen die bij de inbreuk betrokken waren, gehasht of gecodeerd met behulp van een veilig algoritme, wat betekent dat slachtoffers van de aanval niet onmiddellijk gevaar zouden moeten lopen.
Om uzelf verder te beschermen tegen datalekken, kiest u voor elke online dienst willekeurige en unieke gebruikersnamen. Het instellen van een uniek e-mailadres voor elke online account maakt de zaken nog veiliger – en het is niet zo omslachtig als je zou denken dankzij de nieuwe diensten die door sommige e-mailproviders worden aangeboden.
Bron: theintercept.com
