Трой Хант (Troy Hunt), создатель сервиса проверки скомпрометированных паролей «Have I Been Pwned» (haveibeenpwned.com), получил сведения об утечке пользовательской базы организации Internet Archive (archive.org), сопровождающей архив состояния сайтов и крупнейшую библиотеку оцифрованного контента. Совершившие атаку передали Трою SQL-дамп (6 ГБ), включающий учётные записи 31 млн. пользователей archive.org. Кроме того, зафиксирована подстановка на сайт archive.org JavaScript-кода, выводящего всплывающее окно с информацией о взломе.

Предупреждение об утечке передано администрации archive.org, но официальных заявлений и пояснений пока опубликовано. Появившийся в сети SQL-дамп БД сервиса занимает более 6 ГБ и среди прочего включает хэши паролей пользователей в формате bcrypt, а также время изменения пароля, email и имя пользователя. Наиболее свежая запись в БД датирована 28 сентября.

Актуальность БД подтвердил известный исследователь безопасности Скот Хельме (Scott Helme), хэш пароля и время изменения из утекшего SQL-дампа у которого совпали с данными из его менеджера паролей. Компрометацию своих учётных записей можно проверить через сервис haveibeenpwned.com, в который уже добавлены сведения об учётных записях из утекшей БД archive.org. В общем виде проверка в haveibeenpwned.com охватывает 14 миллиардов паролей и включает сведения о взломах 817 сайтов.

Источник: http://www.opennet.ru/opennews/art.shtml?num=62022