Hackere, der stjal følsomme kundeoplysninger fra det snydende websted AshleyMadison.com, ser ud til at have godtgjort deres trussel om at lægge data online. > En datadump, 9,7 gigabyte i størrelse, blev sendt tirsdag til det mørke web ved hjælp af en Onion-adresse, der kun er tilgængelig via Tor-browseren. Filerne ser ud til at omfatte kontooplysninger og logins til ca. 32 millioner brugere af det sociale netværkswebsted, udråbt som det førende sted for gifte personer, der søger partnere til anliggender. Syv års værdi af kreditkort og andre betalingstransaktionsoplysninger er også en del af dumpet. AshleyMadison.com hævdede at have næsten 40 millioner brugere på tidspunktet for overtrædelsen for ca. en måned siden, alt tilsyneladende på markedet for hemmelige tilslutninger.
“Ashley Madison er det mest berømte navn i utroskab og gift dating,” hævder webstedet på sin hjemmeside. “Har en affære i dag på Ashley Madison. Tusinder af snydende koner og snydende ægtemænd tilmelder sig hver dag på udkig efter en affære …. Med vores affære-garantipakke garanterer vi, at du finder den perfekte affærepartner.”
The data frigivet af hackerne inkluderer navne, adgangskoder, adresser og telefonnumre, der er indsendt af brugere af webstedet, selvom det er uklart, hvor mange medlemmer der har givet legitime oplysninger til at åbne konti. En stikprøve af de lækkede data indikerer, at brugerne har givet tilfældige numre og adresser for at åbne konti. Men filer, der indeholder kreditkorttransaktioner, giver sandsynligvis rigtige navne og adresser, medmindre medlemmer af webstedet brugte anonyme forudbetalte kort, som tilbyder mere anonymitet. Disse data, der beløber sig til millioner af betalingstransaktioner tilbage til 2008, inkluderer navne, gadenavn, e-mail-adresse og betalt beløb, men ikke de fulde kreditkortnumre; i stedet indeholder det kun fire cifre for hver transaktion, hvilket faktisk kan være de sidste fire cifre i kreditkortnumre eller simpelthen et transaktions-id, der er unikt for hvert gebyr.
En analyse af e-mail-adresser, der findes i datadumpen, viser også, at omkring 15.000 er .mil. eller .gov-adresser. Det er dog ikke klart, hvor mange af disse der er legitime adresser.
Dataene også inkluderer beskrivelser af, hvad medlemmer søgte. “Jeg leder efter nogen, der ikke er glad derhjemme eller bare keder sig og leder efter spænding,” skrev et medlem, der oplyste en adresse i Ottawa og navnet og telefonnummeret på en person, der arbejder for told- og indvandringsunionen i Canada. “Jeg elsker det, da jeg ringede og fortalte, at jeg har 15 minutter til at komme et sted, hvor jeg bliver mødt med en overraskelse ved døren – måske undertøj, nøgenhed. Jeg kan godt lide at betage og blive hærget … Jeg kan godt lide masser af forspil og udholdenhed, sjov, diskretion, mundtlig, endda villighed til at eksperimentere – * smile * “
Adgangskoder frigivet i datadumpen ser ud til at have været hash ved hjælp af bcrypt-algoritmen til PHP, men Robert Graham, administrerende direktør for Erratasec, siger, at på trods af at dette er en af de sikreste måder at gemme adgangskoder på, er hackere sandsynligvis stadig i stand til at “knække” mange af disse hashes for at find kontoindehaverens originale adgangskode. Hvis kontiene stadig er online, betyder det, at hackere er i stand til at få fat i enhver privat korrespondance, der er knyttet til kontiene.
Det bemærkes dog, at snydesiden ved at bruge den sikre hashing-algoritme overgik mange andre ofre for overtrædelser, vi har set i årenes løb, der aldrig gider at kryptere kundens adgangskoder.
“Vi er så vant til at se klartekst og MD5-hash,” siger Graham. “Det er forfriskende at se, at bcrypt faktisk bliver brugt.”
Her er hvordan hackere introducerede den nye datadump:
Efter indbruddet i sidste måned krævede hackerne, der kaldte sig Impact Team, at Avid Life Media, ejer af AshleyMadison.com og dets ledsager site Etablerede mænd, tag de to sider ned. EstablishedMen.com lover at forbinde smukke unge kvinder med rige sukkerdatter “for at opfylde deres livsstilsbehov.” Hackerne målrettede ikke CougarLife, et søsterside, der drives af ALM, der lover at forbinde ældre kvinder med yngre mænd.
“Avid Life Media er blevet instrueret om at tage Ashley Madison og Established Men permanent offline i alle former, ellers frigiver vi alle kundeoptegnelser, herunder profiler med alle kundernes hemmelige seksuelle fantasier. og matchende kreditkorttransaktioner, rigtige navne og adresser og medarbejderdokumenter og e-mails, “hackerne skrev i en erklæring efter overtrædelsen.
Relaterede links
For at vise de betød forretning, sendte de eksempelfiler indeholdende nogle af de stjålne data, som omfattede virksomhedsøkonomiske oplysninger, der beskriver medarbejderlønninger og dokumenter, der kortlagde virksomhedens interne netværk.
Hackerne syntes at være målrettet mod AshleyMadison og EstablishedMen over den tvivlsomme moral, de kondonerede og opmuntrede, men de tog også spørgsmålstegn ved, hvad de betragtede som ALMs svigagtige forretningsskik. På trods af lovende kunder om at slette deres brugerdata fra webstedet mod et gebyr på $ 19, beholdt virksomheden faktisk dataene på ALMs servere, hævdede hackerne. ”Alt for dårligt for disse mænd, de snyder snavs og fortjener ikke et sådant skøn,” skrev hackerne. ”Alt for dårligt for ALM, du lovede hemmeligholdelse, men leverede ikke.”
Avid Life Media trodsigt ignorerede advarslerne og holdt begge sider online efter overtrædelsen og lovede kunder, at det havde øget sikkerheden i sine netværk.
Det betyder ikke noget for de kunder, hvis data allerede var taget. Enhver øget sikkerhed ville være for lidt for sent for dem. Nu står de over for det største nedfald fra bruddet: offentlig forlegenhed, vrede fra vrede partnere, der muligvis har været ofre for deres snyd, mulig afpresning og potentielt bedrageri fra alle, der nu kan bruge de personlige data og bankkortoplysninger, der er udsat for i datadumpen .
“Avid Life Media har undladt at tage Ashley Madison og etablerede mænd ned,” skrev Impact Team i en erklæring, der ledsagede online-dumpet tirsdag. “Vi har forklaret bedrageri, bedrag og dumhed hos ALM og deres medlemmer. Nu får alle se deres data … Husk, at siden er en fidus med tusindvis af falske kvindelige profiler. Se Ashley Madison falske profil retssag; 90-95% af de faktiske brugere er mænd. Chancerne er, at din mand er tilmeldt på verdens største affæreside, men aldrig har haft en. Han prøvede bare. Hvis denne sondring betyder noget. “
Hackerne afviste ansvaret for eventuelle skader eller konsekvenser, som ofre for overtrædelsen og datadump kan lide.
” Find dig selv herinde? Det var ALM, der svigtede dig og løj for dig. Forfølg dem og kræv erstatning. Gå derefter videre med dit liv. Lær din lektion og gør det godt. Pinligt nu, men du “kommer over det,” skrev de.
Det er vigtigt at bemærke, at Ashley Madisons tilmeldingsproces ikke kræver verifikation af en e-mail-adresse for at oprette en konto, så legitime adresser kan være blevet kapret og brugt af nogle medlemmer af webstedet. En e-mail i datadumpen ser ud til at tilhøre den tidligere britiske premierminister (Tony Blair).
Avid Life Media fordømte frigivelsen af dataene.
“Denne begivenhed er ikke en handling af hacktivisme, det er en handling af kriminalitet. Det er en ulovlig handling mod de enkelte medlemmer af AshleyMadison.com såvel som alle fritænkende mennesker, der vælger at deltage i fuldt lovlige online-aktiviteter, “sagde virksomheden i en udmelding. “De kriminelle, eller de kriminelle, der er involveret i denne handling, har udnævnt sig selv til den moralske dommer, jurymedlem og bøddel, idet de finder det hensigtsmæssigt at pålægge hele samfundet en personlig forestilling om dyd. Vi vil ikke sidde stille ved og lade disse tyve tvinge deres personlige ideologi om borgere rundt om i verden. “
Denne historie blev opdateret, da den udviklede sig.