A 9 de Outubro de 2024, os utilizadores que visitaram o site do Internet Archive depararam-se com uma mensagem pop-up a informar que o site tinha sido pirateado. O alerta dizia:
Have you ever felt like the Internet Archive runs on sticks and is constantly on the verge of suffering a catastrophic security breach? It just happened. See 31 million of you on HIBP!
HIBP refere-se ao serviço Have I Been Pwned que permite verificar se as suas informações pessoais foram comprometidas em roubos de dados. Brewster Kahle, fundador do Internet Archive, confirmou o incidente e que envolveu realmente o roubo de cerca de 31 milhões de contas de utilizadores.
A violação de dados envolveu informações confidenciais, incluindo endereços de e-mail, nomes de utilizador, palavras-passe encriptadas com hash Bcrypt e até carimbos de data e hora relacionados com alterações de palavra-passe. Troy Hunt, o criador do HIBP, confirmou ao site BleepingComputer que os dados roubados eram legítimos e acrescentou que mais de metade dessas contas já tinham sido comprometidas noutras violações. O responsável pelo roubo partilhou com Hunt uma base de dados de 6,4 GB que continha essas informações antes de o Internet Archive anunciar publicamente o incidente.
What we know: DDOS attack–fended off for now; defacement of our website via JS library; breach of usernames/email/salted-encrypted passwords.
What we’ve done: Disabled the JS library, scrubbing systems, upgrading security.
Will share more as we know it.
— Brewster Kahle (@brewster_kahle) October 10, 2024
Em resposta ao ataque, o Internet Archive encerrou temporariamente os seus serviços. Kahle também disse no X que a organização desactivou a biblioteca JavaScript comprometida usada para levar a cabo o ataque e que está a trabalhar para melhorar as medidas de segurança. O Internet Archive está actualmente a limpar os seus sistemas para evitar mais problemas.
Juntamente com a violação de dados, o Internet Archive também enfrentou alguns ataques DDoS. Uma conta chamada SN_Blackmeta assumiu a responsabilidade por esses ataques DDoS e disse que outro ataque estava a caminho, o que realmente aconteceu. A mesma conta na rede social X também assumiu a responsabilidade pelos ataques DDoS que aconteceram em Maio deste ano.