Les pirates qui ont volé des informations client sensibles sur le site de triche AshleyMadison.com semblent avoir mis à exécution leur menace de publier les données en ligne.
Un vidage de données, d’une taille de 9,7 gigaoctets, a été posté mardi sur le dark web en utilisant une adresse Onion accessible uniquement via le navigateur Tor. Les fichiers semblent inclure les détails du compte et les identifiants de quelque 32 millions d’utilisateurs du site de réseautage social, présenté comme le premier site pour les personnes mariées à la recherche de partenaires pour leurs affaires. Sept ans de carte de crédit et d’autres détails de transaction de paiement font également partie de la décharge. AshleyMadison.com affirmait avoir près de 40 millions d’utilisateurs au moment de la violation il y a environ un mois, tous apparemment sur le marché des branchements clandestins.
« Ashley Madison est le nom le plus célèbre de l’infidélité et des rencontres conjugales », affirme le site sur sa page d’accueil. « Ayez une liaison aujourd’hui avec Ashley Madison. Des milliers d’épouses et de maris infidèles s’inscrivent chaque jour à la recherche d’une liaison … Avec notre package de garantie d’affaire, nous vous garantissons que vous trouverez le partenaire idéal. »
Le les données publiées par les pirates informatiques comprennent les noms, mots de passe, adresses et numéros de téléphone soumis par les utilisateurs du site, bien que l’on ne sache pas combien de membres ont fourni des détails légitimes pour ouvrir des comptes. Un échantillon des données divulguées indique que les utilisateurs ont fourni des numéros et des adresses aléatoires pour ouvrir des comptes. Mais les fichiers contenant des transactions par carte de crédit donnent probablement de vrais noms et adresses, à moins que les membres du site n’utilisent des cartes prépayées anonymes, qui offrent plus d’anonymat. Ces données, qui représentent des millions de transactions de paiement depuis 2008, comprennent nom, adresse postale, adresse e-mail et montant payé, mais pas les numéros de carte de crédit complets; à la place, il ne comprend que quatre chiffres pour chaque transaction, qui peuvent en fait être les quatre derniers chiffres du numéros de carte de crédit ou simplement un identifiant de transaction unique pour chaque débit.
Une analyse des adresses e-mail trouvées dans le vidage de données montre également que 15 000 environ sont .mil. ou adresses .gov. On ne sait pas, cependant, combien d’entre elles sont des adresses légitimes.
Les données également comprend des descriptions de ce que les membres recherchaient. « Je » suis à la recherche de quelqu’un qui « n’est pas heureux à la maison ou qui s’ennuie tout simplement et qui cherche de l’excitation », a écrit un membre qui a fourni une adresse à Ottawa ainsi que le nom et le numéro de téléphone de quelqu’un qui travaille pour le Syndicat des douanes et de l’immigration au Canada. «J’adore quand on m’appelle et qu’on me dise que j’ai 15 minutes pour me rendre à un endroit où je serai accueilli à la porte avec une surprise – peut-être de la lingerie, de la nudité. J’aime ravir et être ravi … J’aime beaucoup de préliminaires et d’endurance, le plaisir, la discrétion, l’oral, même la volonté d’expérimenter – * sourire * «
Les mots de passe publiés dans le vidage de données semblent avoir été haché à l’aide de l’algorithme bcrypt pour PHP, mais Robert Graham, PDG d’Erratasec, affirme que bien que ce soit l’un des moyens les plus sûrs de stocker des mots de passe, «les pirates sont toujours susceptibles de« casser »bon nombre de ces hachages afin de découvrez le mot de passe d’origine du titulaire du compte. Si les comptes sont toujours en ligne, cela signifie que les pirates pourront récupérer toute correspondance privée associée aux comptes.
Il est toutefois remarquable que le site de triche, en utilisant l’algorithme de hachage sécurisé, a surpassé de nombreuses autres victimes de violations que nous « avons vues au cours des années qui ne se sont jamais souciées de crypter les mots de passe des clients.
«Nous sommes tellement habitués à voir du texte clair et des hachages MD5», dit Graham. « C’est rafraîchissant de voir bcrypt réellement utilisé. »
Voici comment les pirates ont introduit le nouveau vidage de données:
Suite à l’intrusion du mois dernier, les hackers, qui se faisaient appeler l’équipe Impact, ont exigé qu’Avid Life Media, propriétaire d’AshleyMadison.com et son compagnon site Established Men, supprimez les deux sites. EstablishedMen.com promet de connecter de belles jeunes femmes avec des papas riches en sucre « pour répondre à leurs besoins en matière de style de vie. » Les pirates n’ont pas ciblé CougarLife, un site sœur géré par ALM qui promet de connecter les plus âgés des femmes avec des hommes plus jeunes.
« Avid Life Media a reçu pour instruction de mettre Ashley Madison et Established Men hors ligne de manière permanente sous toutes les formes, ou nous publierons tous les enregistrements des clients, y compris les profils contenant tous les fantasmes sexuels secrets des clients et faire correspondre les transactions par carte de crédit, les vrais noms et adresses, ainsi que les documents et e-mails des employés, « les pirates écrit dans une déclaration à la suite de la violation.
Liens connexes
Pour les afficher entreprise, ils ont publié des exemples de fichiers contenant certaines des données volées, qui comprenaient des informations financières de l’entreprise détaillant les salaires des employés et des documents cartographiant le réseau interne de l’entreprise.
Les pirates semblaient cibler AshleyMadison et EstablishedMen sur le sujet douteux morale qu’ils ont tolérée et encouragée, mais ils ont également contesté ce qu’ils considéraient comme les pratiques commerciales frauduleuses d’ALM. Bien que les clients aient promis de supprimer leurs données utilisateur du site moyennant des frais de 19 $, la société a en fait conservé les données sur les serveurs d’ALM, ont affirmé les pirates. « Dommage pour ces hommes, ils trichent des sacs de saleté et ne méritent pas une telle discrétion », ont écrit les hackers. « Dommage pour ALM, vous avez promis le secret mais vous n’avez pas tenu. »
Avid Life Media avec défi a ignoré les avertissements et a maintenu les deux sites en ligne après la violation, promettant aux clients qu’il avait augmenté la sécurité de ses réseaux.
Cela n’aurait pas d’importance pour les clients dont les données avaient déjà été prises. Toute sécurité accrue serait trop peu trop tard pour eux. Maintenant, ils font face aux plus grandes retombées de la violation: l’embarras du public, la colère des partenaires en colère qui ont peut-être été victimes de leur tricherie, un possible chantage et une fraude potentielle de la part de quiconque peut désormais utiliser les données personnelles et les informations de carte bancaire exposées dans la décharge de données. .
« Avid Life Media n’a pas réussi à vaincre Ashley Madison et les hommes établis », a écrit l’Impact Team dans un communiqué accompagnant la décharge en ligne mardi. « Nous avons expliqué la fraude, la tromperie et la stupidité de l’ALM et de ses membres. Maintenant, tout le monde peut voir leurs données …. Gardez à l’esprit que le site est une arnaque avec des milliers de faux profils féminins. Voir le procès de faux profil d’Ashley Madison; 90 à 95% des utilisateurs réels sont des hommes. Il est fort probable que votre homme s’est inscrit sur le plus grand site d’affaires au monde, mais qu’il n’en ait jamais eu. Il a juste essayé. Si cette distinction est importante. «
Les pirates ont dégagé toute responsabilité pour tout dommage ou toute répercussion que les victimes de la violation et du vidage de données pourraient subir.
» Vous trouvez-vous ici? C’est ALM qui vous a laissé tomber et qui vous a menti. Poursuivez-les et réclamez des dommages-intérêts. Continuez ensuite votre vie. Apprenez votre leçon et faites amende honorable. C’est embarrassant maintenant, mais vous « allez vous en remettre », ont-ils écrit.
C’est important à noter que le processus d’inscription d’Ashley Madison ne nécessite pas la vérification d’une adresse e-mail pour créer un compte, des adresses légitimes peuvent donc avoir été détournées et utilisées par certains membres du site. Un e-mail dans la décharge de données, par exemple, semble appartenir à l’ancien Premier ministre britannique (Tony Blair).
Avid Life Media a condamné la publication des données.
« Cet événement n’est pas un acte de hacktivisme, c’est un acte de criminalité. Il s’agit d’une action illégale contre les membres individuels d’AshleyMadison.com, ainsi que contre toute personne libre-pensante qui choisit de se livrer à des activités en ligne pleinement licites « , a déclaré la société dans un déclaration. « Le ou les criminels impliqués dans cet acte se sont désignés comme juge moral, juré et bourreau, jugeant bon d’imposer une notion personnelle de vertu à l’ensemble de la société. Nous ne resterons pas les bras croisés et ne laisserons pas ces voleurs forcer leur idéologie personnelle sur les citoyens du monde entier. «
Cette histoire a été mise à jour au fur et à mesure qu’elle se développait.