El archivo de Internet Recientemente fue el objetivo de un violación de datos que expuso información relacionada con 31 millones de usuarios, incluidos sus nombres de usuario y direcciones de correo electrónico, entre otros materiales. el grupo SN_Blackmeta tiene reclamado responsabilidad por un ataque DDoS simultáneo que dejó el sitio fuera de línea. Aún no se ha identificado al responsable de la violación de datos.
Internet Archive, una organización sin fines de lucro, desempeña un papel vital en la cultura en línea, preservando el contenido web y otros materiales digitalizados y operando la popular Wayback Machine, que permite a los visitantes ver versiones históricas de sitios web.
Sin embargo, aún no está claro cómo ocurrió la violación de datos. algunos en la comunidad de seguridad de la información han especulado que las credenciales de los servidores de Internet Archive pueden haberse encontrado en los registros de malware “ladrón de información”, que extrae información confidencial de los sistemas infectados.
La reciente filtración de datos no es la única forma en que las direcciones de correo electrónico de los usuarios de Internet Archive han sido vulnerables en línea. Pero durante más de una década, Internet Archive ha estado exponiendo las direcciones de correo electrónico de cualquiera que haya subido un archivo a su biblioteca, a pesar de afirmar que no comparte las direcciones de correo electrónico de quien subió un archivo con nadie.
Cuando se carga contenido en Internet Archive, se genera automáticamente un archivo de metadatos que incluye una variedad de información sobre el contenido, como la fecha de carga, cualquier descripción ingresada por el usuario del contenido del archivo, así como el tema y el tipo de medio. Sin embargo, junto a los metadatos, hay un campo de “cargador” que muestra la dirección de correo electrónico de quien subió el archivo. El archivo de metadatos se puede ver públicamente haciendo clic en el enlace “Mostrar todo” que se encuentra en la página principal de cualquier contenido cargado. También se puede acceder a los metadatos accediendo a una URL de metadatos específica para el archivo.
Los usuarios han expresado su preocupación por la visibilidad de las direcciones de correo electrónico en Internet Archive durante más de una década. En su propio sitio, en respuesta a la pregunta de “¿Cómo puedo comunicarme con la persona/grupo que subió un artículo?”, Internet Archive afirma que “no puede revelar ninguna información de contacto para los usuarios”. De la misma manera, en un apartado de su guía Titulado “¿Por qué necesitas mi dirección de correo electrónico?”, Internet Archive explica que necesita direcciones de correo electrónico para verificar cuentas, permitir a los usuarios iniciar sesión en cuentas, ayudar a recuperar contraseñas y recibir notificaciones. El Archivo continúa “prometiendo que no compartiremos sus datos con nadie”.
Sin embargo, a pesar de estas garantías, Internet Archive parece revelar fácilmente la dirección de correo electrónico de quienes suben el contenido, ignorando las solicitudes de soporte de los usuarios que señalaron el problema durante años. En 2013un usuario hizo una publicación en los foros de soporte del Archivo señalando que la información de quien subió el archivo, específicamente su dirección de correo electrónico, estaba disponible en un archivo de metadatos que el Archivo generaba para cada carga. La publicación no recibió respuesta de nadie en el Archivo.
En 2024, otro usuario publicó un asunto en la página GitHub de Internet Archive, haciendo referencia a la publicación anterior de 2013 y detallando de manera similar el hecho de que los correos electrónicos de quienes suben archivos son visibles públicamente. “No hay nada en el sitio web que advierta a los usuarios que sus direcciones de correo electrónico van a quedar expuestas”, afirma la publicación. Continúa describiendo esto como una “traición a la privacidad de quienes suben videos”. Incluso si los usuarios actualizaron posteriormente la dirección de correo electrónico afiliada a su cuenta, las cargas más antiguas aún revelaban la dirección de correo electrónico asociada con la cuenta en el momento de la carga, señaló el usuario. Al igual que en la publicación anterior de 2013, nadie de Internet Archive respondió públicamente a la cuestión planteada.
Internet Archive no respondió de inmediato a las preguntas sobre la infracción o sobre por qué los correos electrónicos de quienes suben archivos se hacen públicos, a pesar de la documentación que indica que los correos electrónicos de quienes suben archivos no se comparten con nadie.
Para mitigar el impacto adverso de posibles filtraciones de cuentas, los usuarios deben tener una contraseña única y aleatoria para cada una de sus cuentas, de modo que si ocurriera una violación de un servicio en particular, los atacantes no pudieran usar la misma contraseña para intentarlo. para acceder a otras cuentas, en lo que se conoce como relleno de credenciales ataque. En este caso, los materiales de contraseña incluidos en la vulneración fueron codificados o codificados utilizando un algoritmo seguro, lo que significa que las víctimas del ataque no deberían estar en riesgo inmediato.
Para protegerse aún más contra las filtraciones de datos, elija nombres de usuario únicos y aleatorios para cada servicio en línea. Configurar una dirección de correo electrónico única para cada cuenta en línea hace que las cosas sean aún más seguras y no es tan engorroso como podría pensar gracias a nuevos servicios ofrecidos por algunos proveedores de correo electrónico.