Zdá se, že hackeři, kteří ukradli citlivé informace o zákaznících z podvádějícího webu AshleyMadison.com, svou hrozbu zveřejnění dat online napravili.
Výpis dat o velikosti 9,7 gigabajtů byl zveřejněn v úterý na temný web pomocí adresy cibule přístupné pouze prostřednictvím prohlížeče Tor. Zdá se, že soubory obsahují podrobnosti o účtu a přihlašování přibližně 32 milionů uživatelů webu sociálních sítí, které jsou považovány za přední web pro vdané osoby hledající partnery pro záležitosti. Součástí skládky je také kreditní karta v délce sedmi let a další podrobnosti o platebních transakcích. Stránka AshleyMadison.com tvrdila, že v době porušení zhruba před měsícem mělo téměř 40 milionů uživatelů, zřejmě všichni na trhu s tajnými přípojkami.
„Ashley Madison je nejznámější jméno v nevěře a v manželství,“ tvrdí web na své domovské stránce. „Mějte dnes aféru na Ashley Madison. Tisíce podvádějících manželek a podvádějících manželů se každý den přihlašují a hledají aférku … S naším balíčkem záruk pro aféry zaručujeme, že najdete perfektního aférového partnera.“
data zveřejněná hackery zahrnují jména, hesla, adresy a telefonní čísla zadaná uživateli webu, i když není jasné, kolik členů poskytlo legitimní údaje k otevření účtů. Vzorkování uniklých dat naznačuje, že uživatelé poskytli náhodná čísla a adresy k otevření účtů. Soubory obsahující transakce s kreditními kartami však pravděpodobně přinášejí skutečná jména a adresy, pokud členové webu nepoužívají anonymní předplacené karty, které nabízejí větší anonymitu. Tato data, která představují miliony platebních transakcí od roku 2008, zahrnují jména, poštovní adresa, e-mailová adresa a zaplacená částka, ale ne celá čísla kreditních karet; místo toho obsahuje pouze čtyři číslice pro každou transakci, což mohou být ve skutečnosti poslední čtyři číslice čísla kreditních karet nebo jednoduše ID transakce jedinečné pro každý poplatek.
Jedna analýza e-mailových adres nalezených ve výpisu dat také ukazuje, že přibližně 15 000 je .mil. nebo .gov adresy. Není však jasné, kolik z nich jsou legitimní adresy.
Data také obsahuje popis toho, co členové hledali. „Hledám někoho, kdo doma není šťastný, nebo se jen nudím a hledám nějaké vzrušení,“ napsal jeden člen, který poskytl adresu v Ottawě a jméno a telefonní číslo někoho, kdo pracuje pro celní a imigrační unii v Kanadě. „Miluji, když jsem zavolal a řekl mi, že mám 15 minut na to, abych se dostal někam, kde mě u dveří přivítá překvapení – možná spodní prádlo, nahota. Líbí se mi zuřit a být zuřivý … Líbí se mi spousta předehra a výdrž, zábava, diskrétnost, orál, dokonce ochota experimentovat – * úsměv * „
Zdá se, že hesla uvolněná na skládce dat byla hash pomocí algoritmu bcrypt pro PHP, ale Robert Graham, generální ředitel společnosti Erratasec, říká, že navzdory tomu, že jde o jeden z nejbezpečnějších způsobů ukládání hesel, „hackeři budou stále pravděpodobně schopni„ prolomit “mnoho z těchto hashů, aby objevte původní heslo majitele účtu. “ Pokud jsou účty stále online, znamená to, že hackeři budou moci chytit veškerou soukromou korespondenci spojenou s účty.
Je však pozoruhodné, že web, který podvádí, pomocí zabezpečeného algoritmu hash překonal mnoho dalších obětí porušení, kterých jsme v průběhu let viděli a kteří se nikdy neobtěžovali šifrovat hesla zákazníků.
„Jsme tak zvyklí, že vidíme čistý text a hash MD5,“ říká Graham. „Je osvěžující vidět, že je bcrypt skutečně používán.“
Takto hackeři představili nový výpis dat:
Po vniknutí z minulého měsíce hackeři, kteří si říkali Impact Team, požadovali, aby Avid Life Media, majitel AshleyMadison.com a jeho společník Stránka Established Men, zlikvidujte tyto dvě stránky. EstablishedMen.com slibuje, že spojí krásné mladé ženy s bohatými cukrovými tatínky, „aby splnily své životní potřeby.“ Hackeři se nezaměřili na CougarLife, sesterský web provozovaný ALM, který slibuje propojení starších ženy s mladšími muži.
„Společnost Avid Life Media byla instruována, aby Ashley Madison a Established Men trvale natrvalo ve všech formách offline, nebo zveřejníme všechny záznamy o zákaznících, včetně profilů se všemi tajnými sexuálními fantaziemi zákazníků a porovnávání transakcí s kreditními kartami, skutečných jmen a adres a dokumentů a e-mailů zaměstnanců, “hackeři napsal v prohlášení po porušení.
Související odkazy
Zobrazit Znamená to obchod, zveřejnili ukázkové soubory obsahující některá z odcizených dat, která obsahovala finanční informace společnosti s podrobnými informacemi o platech zaměstnanců a dokumenty mapující interní síť společnosti.
Zdálo se, že hackeři cílili na AshleyMadison a EstablishedMen kvůli pochybným morálku, kterou tolerovali a podporovali, ale také vzali v úvahu to, co považovali za podvodné obchodní praktiky ALM. I přes slib, že zákazníci z webu smažou svá uživatelská data za poplatek 19 USD, si společnost data skutečně ponechala na serverech ALM, tvrdili hackeři. „Škoda těch mužů, podvádějí pytle na prach a nezaslouží si takovou diskrétnost,“ napsali hackeři. „Škoda pro ALM, slíbili jste utajení, ale nedodali jste to.“
Avid Life Media vzdorovitě ignoroval varování a po narušení udržoval oba weby online a sliboval zákazníkům, že zvýšil zabezpečení svých sítí.
To by nezáleželo na zákaznících, jejichž data již byla převzata. Jakákoli zvýšená bezpečnost by pro ně byla příliš malá příliš pozdě. Nyní čelí největšímu spadu z porušení: veřejné rozpaky, hněv rozzlobených partnerů, kteří se mohli stát oběťmi jejich podvádění, možné vydírání a potenciální podvod od kohokoli, kdo nyní může používat osobní údaje a informace o bankovních kartách vystavené na skládce dat .
„Společnost Avid Life Media nedokázala sundat Ashley Madison a Established Men,“ napsal Impact Team ve svém prohlášení doprovázejícím online skládku v úterý. „Vysvětlili jsme podvod, podvod a hloupost ALM a jejich členů. Nyní si každý může prohlédnout jejich data …. Mějte na paměti, že web je podvod s tisíci falešných ženských profilů. Viz žaloba na falešný profil od Ashley Madison; 90–95% skutečných uživatelů jsou muži. Je pravděpodobné, že se váš muž přihlásil na největší web s aférami na světě, ale nikdy jej neměl. Jen se o to pokusil. Pokud na tomto rozdílu záleží. “
Hackeři odvrátili odpovědnost za jakékoli škody nebo následky, které mohou oběti porušení a ukládání dat utrpět.
„ Najdete se zde? Byl to ALM, který vás zklamal a lhal vám. Stíhejte je a požadujte náhradu škody. Pak pokračujte ve svém životě. Poučte se a napravte to. Už je to trapné, ale „překonáte to,“ napsali.
Je to důležité upozorňujeme, že proces registrace Ashley Madison nevyžaduje pro založení účtu ověření e-mailové adresy, takže legitimní adresy mohli být uneseni a někteří členové webu je mohli použít. Například jeden e-mail na skládce údajů patrně patří bývalému britskému premiérovi (Tony Blair).
Avid Life Media zveřejnění údajů odsoudil.
„Tato událost není aktem hacktivismu, je to činem kriminality. Je to protiprávní akce proti jednotlivým členům AshleyMadison.com, stejně jako proti jakýmkoli svobodomyslným lidem, kteří se rozhodnou zapojit do plně legálních online aktivit, “uvedla společnost v tvrzení. „Zločinci nebo zločinci, kteří se podílejí na tomto činu, se jmenovali morálním soudcem, porotcem a katem, považujíce za vhodné vnutit osobní představu o ctnosti celé společnosti. Nebudeme nečinně sedět a nedovolíme těmto zlodějům přinutit jejich osobní ideologie vůči občanům po celém světě. “
Tento příběh byl aktualizován, jak se vyvíjel.