Los piratas informáticos que robaron información confidencial de clientes del sitio de trampas AshleyMadison.com parecen haber cumplido su amenaza de publicar los datos en línea.
Un volcado de datos, de 9,7 gigabytes de tamaño, se publicó el martes en la web oscura utilizando una dirección de cebolla accesible solo a través del navegador Tor. Los archivos parecen incluir detalles de cuentas e inicios de sesión de unos 32 millones de usuarios del sitio de redes sociales, promocionado como el sitio principal para personas casadas que buscan parejas para sus asuntos. Siete años de tarjetas de crédito y otros detalles de transacciones de pago también son parte del basurero. AshleyMadison.com afirmó tener casi 40 millones de usuarios en el momento de la violación hace aproximadamente un mes, todos aparentemente en el mercado de conexiones clandestinas.
«Ashley Madison es el nombre más famoso en infidelidad y citas casadas», afirma el sitio en su página de inicio. «Ten una aventura hoy en Ashley Madison. Miles de esposas infieles y maridos infieles se inscriben todos los días en busca de una aventura … Con nuestro paquete de garantía de aventuras, te garantizamos que encontrarás la pareja perfecta».
El Los datos publicados por los piratas informáticos incluyen nombres, contraseñas, direcciones y números de teléfono enviados por los usuarios del sitio, aunque no está claro cuántos miembros proporcionaron detalles legítimos para abrir cuentas. Una muestra de los datos filtrados indica que los usuarios proporcionaron números y direcciones aleatorios. para abrir cuentas. Pero los archivos que contienen transacciones con tarjetas de crédito probablemente arrojen nombres y direcciones reales, a menos que los miembros del sitio utilicen tarjetas prepagas anónimas, que ofrecen más anonimato. Estos datos, que ascienden a millones de transacciones de pago que se remontan a 2008, incluyen nombres, dirección postal, dirección de correo electrónico y monto pagado, pero no los números completos de la tarjeta de crédito; en su lugar, incluye solo cuatro dígitos para cada transacción, que de hecho pueden ser los últimos cuatro dígitos del números de tarjetas de crédito o simplemente un ID de transacción único para cada cargo.
Un análisis de las direcciones de correo electrónico encontradas en el volcado de datos también muestra que unas 15.000 son .mil. o direcciones .gov. Sin embargo, no está claro cuántas de estas son direcciones legítimas.
Los datos también incluye descripciones de lo que buscaban los miembros. «Estoy buscando a alguien que no sea feliz en casa o que simplemente esté aburrido y busque algo de emoción», escribió un miembro que proporcionó una dirección en Ottawa y el nombre y número de teléfono de alguien que trabaja para la Unión de Aduanas e Inmigración de Canadá. «Me encanta cuando me llaman y me dicen que tengo 15 minutos para llegar a algún lugar donde me recibirán en la puerta con una sorpresa, tal vez lencería, desnudez. Me gusta seducir y ser violada … Me gustan mucho los juegos previos y la resistencia, la diversión, la discreción, la oralidad, incluso la voluntad de experimentar: * sonrisa * «
Las contraseñas publicadas en el volcado de datos parecen haber sido hash utilizando el algoritmo bcrypt para PHP, pero Robert Graham, CEO de Erratasec, dice que a pesar de que esta es una de las formas más seguras de almacenar contraseñas, «es probable que los piratas informáticos puedan» descifrar «muchos de estos hash para poder descubra la contraseña original del titular de la cuenta. Si las cuentas todavía están en línea, esto significa que los piratas informáticos podrán capturar cualquier correspondencia privada asociada con las cuentas.
Sin embargo, es notable que el sitio de trampas, al usar el algoritmo de hash seguro, superó muchas otras víctimas de violaciones que hemos visto a lo largo de los años que nunca se molestaron en cifrar las contraseñas de los clientes.
«Estamos tan acostumbrados a ver texto sin formato y hashes MD5», dice Graham. «Es refrescante ver que bcrypt realmente se está usando».
Así es como los hackers introdujeron el nuevo volcado de datos:
Tras la intrusión del mes pasado, los piratas informáticos, que se llamaban a sí mismos Impact Team, exigieron que Avid Life Media, propietario de AshleyMadison.com y su compañero sitio Establecido Hombres, elimine los dos sitios. EstablecidoMen.com promete conectar a hermosas mujeres jóvenes con ricos papás ricos «para satisfacer sus necesidades de estilo de vida». Los piratas informáticos no apuntaron a CougarLife, un sitio hermano administrado por ALM que promete conectar mujeres con hombres más jóvenes.
«Avid Life Media recibió instrucciones de desconectar a Ashley Madison y a los hombres establecidos de forma permanente en todas sus formas, o publicaremos todos los registros de los clientes, incluidos los perfiles con todas las fantasías sexuales secretas de los clientes y transacciones de tarjetas de crédito coincidentes, nombres y direcciones reales, y documentos y correos electrónicos de los empleados «, los hackers escribió en un comunicado tras la violación.
Enlaces relacionados
Para mostrar En serio, publicaron archivos de muestra que contenían algunos de los datos robados, que incluían información financiera de la empresa que detallaba los sueldos de los empleados y documentos que mapeaban la red interna de la empresa.
Los piratas informáticos parecían apuntar a AshleyMadison y EstablishMen por la cuestionable condonaron y alentaron la moral, pero también se opusieron a lo que consideraban prácticas comerciales fraudulentas de ALM. A pesar de prometer a los clientes que eliminarían sus datos de usuario del sitio por una tarifa de $ 19, la empresa realmente retuvo los datos en los servidores de ALM, afirmaron los piratas informáticos. «Lástima para esos hombres, están haciendo trampas y no merecen tal discreción», escribieron los piratas informáticos. «Lástima para ALM, prometiste mantener el secreto, pero no cumpliste».
Avid Life Media desafiante ignoró las advertencias y mantuvo ambos sitios en línea después de la violación, prometiendo a los clientes que había aumentado la seguridad de sus redes.
Eso no importaría para los clientes cuyos datos ya se habían tomado. Cualquier aumento de la seguridad sería demasiado tarde para ellos. Ahora enfrentan las mayores consecuencias de la violación: vergüenza pública, la ira de socios enojados que pueden haber sido víctimas de su engaño, posible chantaje y fraude potencial de cualquiera que ahora pueda usar los datos personales y la información de la tarjeta bancaria expuesta en el volcado de datos. .
«Avid Life Media no ha podido acabar con Ashley Madison y los hombres establecidos», escribió Impact Team en un comunicado que acompaña al volcado en línea el martes. «Hemos explicado el fraude, el engaño y la estupidez de ALM y sus miembros. Ahora todos pueden ver sus datos … Tenga en cuenta que el sitio es una estafa con miles de perfiles femeninos falsos. Vea la demanda de ashley madison por perfil falso; El 90-95% de los usuarios reales son hombres. Lo más probable es que su hombre se haya registrado en el sitio de aventuras más grande del mundo, pero nunca tuvo uno. Solo lo intentó. Si esa distinción importa «.
Los piratas informáticos desviaron la responsabilidad por cualquier daño o repercusión que pudieran sufrir las víctimas de la violación y el volcado de datos.
» ¿Se encuentra aquí? Fue ALM el que te falló y te mintió. Procesalos y reclamaciones por daños y perjuicios. Entonces sigue adelante con tu vida. Aprenda su lección y haga las paces. Es vergonzoso ahora, pero «lo superarás», escribieron.
Es importante Tenga en cuenta que el proceso de registro de Ashley Madison no requiere la verificación de una dirección de correo electrónico para configurar una cuenta, por lo que las direcciones legítimas pueden haber sido secuestradas y utilizadas por algunos miembros del sitio. Un correo electrónico en el volcado de datos, por ejemplo, parece pertenecer al ex primer ministro del Reino Unido (Tony Blair).
Avid Life Media condenó la publicación de los datos.
«Este evento no es un acto de hacktivismo, es un acto delictivo. Es una acción ilegal contra los miembros individuales de AshleyMadison.com, así como contra cualquier persona librepensadora que decida participar en actividades en línea totalmente legales «, dijo la compañía en un declaración. «El criminal, o los criminales, involucrados en este acto se han designado a sí mismos como juez moral, jurado y verdugo, considerando oportuno imponer una noción personal de virtud a toda la sociedad. No nos quedaremos de brazos cruzados y permitiremos que estos ladrones fuercen su ideología personal sobre los ciudadanos de todo el mundo «.
Esta historia se actualizó a medida que se desarrollaba.