Hacker, die vertrauliche Kundeninformationen von der Betrugsseite AshleyMadison.com gestohlen haben, scheinen ihre Drohung, die Daten online zu veröffentlichen, gut gemacht zu haben.
Ein Daten-Dump mit einer Größe von 9,7 Gigabyte wurde am Dienstag mit einer Zwiebeladresse, die nur über den Tor-Browser zugänglich ist, im dunklen Internet veröffentlicht. Die Dateien scheinen Kontodetails und Anmeldungen für rund 32 Millionen Benutzer der Social-Networking-Site zu enthalten, die als die wichtigste Site für verheiratete Personen angepriesen wird, die Partner für Angelegenheiten suchen. Kreditkarten- und andere Zahlungsvorgangsdetails im Wert von sieben Jahren sind ebenfalls Teil des Dumps. AshleyMadison.com gab an, zum Zeitpunkt des Verstoßes vor etwa einem Monat fast 40 Millionen Benutzer zu haben, die offenbar alle auf dem Markt für geheime Verbindungen sind.
„Ashley Madison ist der bekannteste Name für Untreue und Ehe“, heißt es auf der Homepage der Website. „Haben Sie heute eine Affäre mit Ashley Madison. Tausende betrügerische Frauen und betrügerische Ehemänner melden sich jeden Tag auf der Suche nach einer Affäre an … Mit unserem Affärengarantiepaket garantieren wir Ihnen, dass Sie den perfekten Affärenpartner finden.“
The Zu den von den Hackern veröffentlichten Daten gehören Namen, Passwörter, Adressen und Telefonnummern, die von Benutzern der Website übermittelt wurden. Es ist jedoch unklar, wie viele Mitglieder legitime Details für die Eröffnung von Konten angegeben haben. Eine Stichprobe der durchgesickerten Daten zeigt, dass Benutzer Zufallszahlen und Adressen angegeben haben Dateien mit Kreditkartentransaktionen liefern jedoch wahrscheinlich echte Namen und Adressen, es sei denn, Mitglieder der Website verwendeten anonyme Prepaid-Karten, die mehr Anonymität bieten. Diese Daten, die sich auf Millionen von Zahlungsvorgängen bis 2008 belaufen, umfassen Namen, Straße, E-Mail-Adresse und bezahlter Betrag, jedoch nicht die vollständigen Kreditkartennummern. Stattdessen enthält es nur vier Ziffern für jede Transaktion, die tatsächlich die letzten vier Ziffern der sein können Kreditkartennummern oder einfach eine Transaktions-ID, die für jede Belastung eindeutig ist.
Eine Analyse der im Datendump gefundenen E-Mail-Adressen zeigt auch, dass etwa 15.000 .mil sind. oder .gov Adressen. Es ist jedoch nicht klar, wie viele davon legitime Adressen sind.
Die Daten auch enthält Beschreibungen dessen, was Mitglieder suchten. „Ich suche jemanden, der zu Hause nicht glücklich oder nur gelangweilt ist und nach Aufregung sucht“, schrieb ein Mitglied, das eine Adresse in Ottawa sowie den Namen und die Telefonnummer von jemandem angab, der arbeitet für die Zoll- und Einwanderungsunion in Kanada. „Ich liebe es, wenn ich angerufen werde und sage, ich habe 15 Minuten Zeit, um an einen Ort zu gelangen, an dem ich mit einer Überraschung an der Tür begrüßt werde – vielleicht Dessous, Nacktheit. Ich mag es zu schwärmen und entzückt zu sein … Ich mag viel Vorspiel und Ausdauer, Spaß, Diskretion, Mündlichkeit und sogar Experimentierfreudigkeit – * lächeln * „
Passwörter, die im Datendump veröffentlicht wurden, scheinen gewesen zu sein Hashing mit dem bcrypt-Algorithmus für PHP, aber Robert Graham, CEO von Erratasec, sagt, dass Hacker, obwohl dies eine der sichersten Möglichkeiten zum Speichern von Passwörtern ist, wahrscheinlich immer noch in der Lage sind, viele dieser Hashes zu „knacken“, um dies zu tun Ermitteln Sie das ursprüngliche Passwort des Kontoinhabers. Wenn die Konten noch online sind, bedeutet dies, dass Hacker jede private Korrespondenz abrufen können, die mit den Konten verknüpft ist.
Es ist jedoch bemerkenswert, dass die Betrugsseite bei Verwendung des sicheren Hashing-Algorithmus übertroffen wurde Viele andere Opfer von Verstößen, die wir im Laufe der Jahre gesehen haben und die sich nie die Mühe gemacht haben, Kundenkennwörter zu verschlüsseln.
„Wir sind es gewohnt, Klartext- und MD5-Hashes zu sehen“, sagt Graham. „Es ist erfrischend zu sehen, dass bcrypt tatsächlich verwendet wird.“
So haben die Hacker den neuen Datendump eingeführt:
Nach dem Eindringen im letzten Monat forderten die Hacker, die sich Impact Team nannten, Avid Life Media, den Eigentümer von AshleyMadison.com und dessen Begleiter site Established Men, entfernen Sie die beiden Sites. EstablishedMen.com verspricht, schöne junge Frauen mit reichen Zuckervätern zu verbinden, „um ihren Lebensstil zu erfüllen“. Die Hacker haben CougarLife nicht ins Visier genommen, eine Schwestersite von ALM, die verspricht, ältere Menschen zu verbinden Frauen mit jüngeren Männern.
„Avid Life Media wurde angewiesen, Ashley Madison und Established Men in allen Formen dauerhaft offline zu schalten, oder wir veröffentlichen alle Kundendatensätze, einschließlich Profile mit allen geheimen sexuellen Fantasien der Kunden und passende Kreditkartentransaktionen, echte Namen und Adressen sowie Mitarbeiterdokumente und E-Mails, „die Hacker schrieb in einer Erklärung nach dem Verstoß.
Verwandte Links
Zum Anzeigen Sie stellten Beispieldateien bereit, die einige der gestohlenen Daten enthielten, darunter Finanzinformationen des Unternehmens, in denen die Gehälter der Mitarbeiter und Dokumente aufgeführt waren, die das interne Netzwerk des Unternehmens abbildeten.
Die Hacker schienen AshleyMadison und EstablishedMen wegen der fragwürdigen Daten ins Visier zu nehmen Moral, die sie billigten und ermutigten, aber sie stellten auch die betrügerischen Geschäftspraktiken von ALM in Frage. Trotz des Versprechens der Kunden, ihre Benutzerdaten gegen eine Gebühr von 19 US-Dollar von der Website zu löschen, behielt das Unternehmen die Daten tatsächlich auf den Servern von ALM, so die Hacker. „Schade für diese Männer, sie betrügen Drecksäcke und verdienen keine solche Diskretion“, schrieben die Hacker. „Schade für ALM, Sie haben Geheimhaltung versprochen, aber nicht geliefert.“
Avid Life Media trotzig ignorierte die Warnungen und hielt beide Websites nach dem Verstoß online und versprach den Kunden, die Sicherheit ihrer Netzwerke erhöht zu haben.
Dies wäre für die Kunden, deren Daten bereits erfasst wurden, nicht von Bedeutung. Jede erhöhte Sicherheit wäre für sie zu spät. Jetzt sind sie mit den größten Folgen des Verstoßes konfrontiert: öffentliche Verlegenheit, der Zorn verärgerter Partner, die möglicherweise Opfer ihres Betrugs geworden sind, mögliche Erpressung und potenzieller Betrug von jedem, der jetzt die im Daten-Dump enthaltenen persönlichen Daten und Bankkarteninformationen verwenden kann
„Avid Life Media hat Ashley Madison und Established Men nicht besiegt“, schrieb Impact Team in einer Erklärung zum Online-Dump am Dienstag. „Wir haben den Betrug, die Täuschung und die Dummheit von ALM und ihren Mitgliedern erklärt. Jetzt kann jeder seine Daten sehen … Denken Sie daran, dass die Website ein Betrug mit Tausenden von gefälschten Frauenprofilen ist. Siehe Ashley Madison Klage wegen gefälschter Profile; 90-95% der tatsächlichen Benutzer sind Männer. Wahrscheinlich hat sich Ihr Mann auf der größten Affair-Site der Welt angemeldet, hatte aber noch nie eine. Er hat es nur versucht. Wenn diese Unterscheidung von Bedeutung ist. „
Die Hacker haben die Verantwortung für Schäden oder Auswirkungen abgelenkt, die Opfer des Verstoßes und des Datendumps erleiden könnten.
“ Finden Sie sich hier wieder? Es war ALM, die dich im Stich gelassen und angelogen hat. Verfolgen Sie sie und fordern Sie Schadensersatz. Dann mach weiter mit deinem Leben. Lerne deine Lektion und mache es wieder gut. Peinlich jetzt, aber Sie werden „darüber hinwegkommen“, schrieben sie.
Es ist wichtig Zu beachten ist, dass für den Anmeldevorgang von Ashley Madison keine Überprüfung einer E-Mail-Adresse erforderlich ist, um ein Konto einzurichten. Daher wurden möglicherweise legitime Adressen von einigen Mitgliedern der Website entführt und verwendet. Eine E-Mail im Datendump scheint beispielsweise dem ehemaligen britischen Premierminister (Tony Blair) zu gehören.
Avid Life Media verurteilte die Veröffentlichung der Daten.
„Dieses Ereignis ist kein Akt des Hacktivismus, es ist ein Akt der Kriminalität. Es ist eine illegale Handlung gegen die einzelnen Mitglieder von AshleyMadison.com sowie gegen alle freidenkenden Personen, die sich für vollständig rechtmäßige Online-Aktivitäten entscheiden „, sagte das Unternehmen in einem Erklärung. „Der Verbrecher oder die Verbrecher, die an dieser Tat beteiligt sind, haben sich selbst zum moralischen Richter, Geschworenen und Henker ernannt, da sie es für angebracht halten, der gesamten Gesellschaft einen persönlichen Begriff von Tugend aufzuzwingen. Wir werden nicht untätig zusehen und diesen Dieben erlauben, Gewalt auszuüben.“ ihre persönliche Ideologie über Bürger auf der ganzen Welt. „
Diese Geschichte wurde aktualisiert, als sie sich entwickelte.