Das Internetarchiv war kürzlich das Ziel eines Datenschutzverletzung Dabei wurden Informationen zu 31 Millionen Benutzern offengelegt, darunter unter anderem deren Benutzernamen und E-Mail-Adressen. Die Gruppe SN_Blackmeta hat behauptet Verantwortung für einen gleichzeitigen DDoS-Angriff, der die Website offline geschaltet hat. Der Verantwortliche für den Datenschutzverstoß wurde noch nicht identifiziert.
Das gemeinnützige Internet Archive spielt eine wichtige Rolle in der Online-Kultur, indem es Webinhalte und andere digitalisierte Materialien bewahrt und die beliebte Wayback Machine betreibt, die es Besuchern ermöglicht, historische Versionen von Websites anzuzeigen.
Es ist jedoch noch nicht klar, wie es zu der Datenpanne kam Einige in der Informationssicherheitsgemeinschaft haben darüber spekuliert dass Anmeldeinformationen für die Server des Internetarchivs möglicherweise in den Protokollen von „Information Stealer“-Malware gefunden wurden, die vertrauliche Informationen aus infizierten Systemen herausfiltert.
Der jüngste Datenverstoß ist nicht die einzige Möglichkeit, warum E-Mail-Adressen von Internet Archive-Benutzern online angreifbar sind. Aber seit mehr als einem Jahrzehnt legt das Internet Archive die E-Mail-Adressen aller offen, die eine Datei in seine Bibliothek hochgeladen haben, obwohl es behauptet, dass es die E-Mail-Adressen der Uploader mit niemandem teilt.
Beim Hochladen von Inhalten in das Internetarchiv wird automatisch eine Metadatendatei generiert, die verschiedene Informationen zum Inhalt enthält, z. B. das Datum des Hochladens, eine vom Benutzer eingegebene Beschreibung des Dateiinhalts sowie das Thema und den Medientyp. Neben den Metadaten gibt es jedoch ein „Uploader“-Feld, das die E-Mail-Adresse des Uploaders anzeigt. Die Metadatendatei kann durch Klicken auf den Link „Alle anzeigen“ auf der Hauptseite aller hochgeladenen Inhalte öffentlich angezeigt werden. Auf die Metadaten kann auch zugegriffen werden, indem Sie zu einer bestimmten Metadaten-URL für die Datei gehen.
Seit mehr als einem Jahrzehnt äußern Benutzer Bedenken hinsichtlich der Sichtbarkeit von E-Mail-Adressen im Internet Archive. Auf seiner eigenen Website als Reaktion auf die Frage In der Frage „Wie kann ich die Person/Gruppe kontaktieren, die einen Artikel hochgeladen hat?“ gibt das Internet Archive an, dass es „keine Kontaktinformationen für Benutzer veröffentlichen kann“. Ebenso in einem Abschnitt davon Führung Mit dem Titel „Warum brauchen Sie meine E-Mail-Adresse?“ erklärt das Internet Archive, dass es E-Mail-Adressen benötigt, um Konten zu verifizieren, Benutzern die Anmeldung bei Konten zu ermöglichen, bei der Wiederherstellung von Passwörtern zu helfen und Benachrichtigungen zu erhalten. Das Archiv fährt fort: „Wir versprechen, dass wir Ihre Daten an niemanden weitergeben.“
Trotz dieser Zusicherungen scheint das Internet Archive jedoch bereitwillig die E-Mail-Adressen von Inhalts-Uploadern preiszugeben und ignoriert Supportanfragen von Benutzern, die das Problem jahrelang gemeldet haben. In 2013hat ein Benutzer einen Beitrag in den Support-Foren des Archivs verfasst und darauf hingewiesen, dass Informationen zum Uploader, insbesondere die E-Mail-Adresse des Uploaders, in einer Metadatendatei verfügbar gemacht wurden, die das Archiv für jeden Upload generierte. Der Beitrag erhielt von niemandem im Archiv eine Antwort.
Im Jahr 2024 hat ein anderer Benutzer einen gepostet Ausgabe auf der GitHub-Seite des Internet Archive, in der auf den früheren Beitrag von 2013 verwiesen wird und in ähnlicher Weise detailliert darauf hingewiesen wird, dass E-Mails des Uploaders öffentlich einsehbar sind. „Auf der Website gibt es keine Warnung für Benutzer, dass ihre E-Mail-Adressen offengelegt werden“, heißt es in dem Beitrag. Weiter wird dies als „Verrat an der Privatsphäre der Uploader“ bezeichnet. Selbst wenn Benutzer die mit ihrem Konto verknüpfte E-Mail-Adresse später aktualisierten, wurde in älteren Uploads immer noch die E-Mail-Adresse angezeigt, die zum Zeitpunkt des Uploads mit dem Konto verknüpft war, stellte der Benutzer fest. Wie beim früheren Beitrag aus dem Jahr 2013 hat niemand vom Internet Archive öffentlich auf das angesprochene Problem reagiert.
Das Internetarchiv antwortete nicht sofort auf Fragen zu dem Verstoß oder dazu, warum E-Mails von Uploadern veröffentlicht werden, obwohl in der Dokumentation angegeben ist, dass E-Mails von Uploadern an niemanden weitergegeben werden.
Um die negativen Auswirkungen potenzieller Kontolecks abzumildern, sollten Benutzer für jedes ihrer Konten ein eindeutiges, zufälliges Passwort haben, damit Angreifer im Falle eines Verstoßes gegen einen bestimmten Dienst nicht dasselbe Passwort für den Angriff verwenden können um auf andere Konten zu gelangen, was als a bekannt ist Credential Stuffing Angriff. In diesem Fall wurden die in den Verstoß einbezogenen Passwortmaterialien mithilfe eines sicheren Algorithmus gehasht oder verschlüsselt, was bedeutet, dass die Opfer des Angriffs nicht unmittelbar gefährdet sein dürften.
Um sich noch besser vor Datenschutzverletzungen zu schützen, wählen Sie für jeden Onlinedienst zufällige und eindeutige Benutzernamen. Das Einrichten einer eindeutigen E-Mail-Adresse für jedes Online-Konto macht die Sache noch sicherer – und ist dank dessen nicht so umständlich, wie man vielleicht denkt neue Dienstleistungen wird von einigen E-Mail-Anbietern angeboten.
