Úgy tűnik, hogy azok a hackerek, akik érzékeny ügyfél-információkat loptak el az AshleyMadison.com csaló webhelyről, jóvátették az adatok online közzétételének veszélyét.
9,7 gigabájt nagyságú adatlerakót tettek közzé kedden a sötét weben egy Onion-cím használatával, amely csak a Tor böngészőn keresztül érhető el. Úgy tűnik, hogy a fájlok a közösségi oldal mintegy 32 millió felhasználójának fiókadatait és bejelentkezési adatait tartalmazzák, amelyek elsődleges webhelyként szerepelnek a házasságban élők számára, akik partnert keresnek ügyekhez. Hét év értékű hitelkártya és egyéb fizetési műveletek részletei szintén a szemétlerakó részét képezik. Az AshleyMadison.com állítása szerint közel 40 millió felhasználóval rendelkezett a körülbelül egy hónappal ezelőtti jogsértés idején, nyilvánvalóan a titkos összeköttetések piacán.
“Ashley Madison a hűtlen és házas randevúk leghíresebb neve” – állítja az oldal a honlapján. “Legyen viszonya ma Ashley Madison-on. Több ezer csaló feleség és csaló férj regisztrál mindennap kapcsolatot. Ügy-garancia csomagunkkal garantáljuk, hogy megtalálja a tökéletes partnert.”
A a hackerek által közzétett adatok tartalmazzák a webhely felhasználói által beküldött neveket, jelszavakat, címeket és telefonszámokat, bár nem világos, hogy hány tag adott meg jogos adatokat a számlák megnyitásához. A kiszivárgott adatok mintavétele azt jelzi, hogy a felhasználók véletlenszerű számokat és címeket adtak meg De a hitelkártya-tranzakciókat tartalmazó fájlok valószínűleg valódi neveket és címeket adnak, hacsak a webhely tagjai anonim előre fizetett kártyákat nem használnak, amelyek több névtelenséget kínálnak. Ezek az adatok, amelyek 2008-ra visszamenőleg több millió fizetési műveletet jelentenek, nevek, utca cím, e-mail cím és befizetett összeg, de nem a teljes hitelkártya számok; ehelyett minden tranzakcióhoz csak négy számjegyet tartalmaz, ami valójában a fizetés utolsó négy számjegye lehet hitelkártyaszámok vagy egyszerűen minden tranzakció egyedi tranzakcióazonosítója.
Az adatgyűjtőben található e-mail címek egy elemzése azt is mutatja, hogy mintegy 15 000 .mil. vagy .gov címek. Nem világos azonban, hogy ezek közül hány jogos cím.
Az adatok is leírást tartalmaz arra vonatkozóan, hogy mit kerestek a tagok. “Olyan embert keresek, aki nem boldog otthon, vagy csak unatkozik, és valami izgalmat keres” – írta az egyik tag, aki címet adott Ottawában, valamint annak nevét és telefonszámát, aki a kanadai Vám- és Bevándorlási Uniónál dolgozik. “Imádom, amikor felhívtak és elmondtam, hogy 15 percem van arra, hogy eljussak valahová, ahol meglepetéssel – talán fehérneművel, mezítelenséggel – fognak fogadni az ajtó előtt. Szeretek tombolni és elpusztulni … Szeretem a sok előjátékot és állóképességet, a szórakozást, a diszkréciót, a szóbeli, sőt a kísérletezésre való hajlandóságot is – * mosolyogni * “
Úgy tűnik, hogy az adatbázison kiadott jelszavakat kivonatolt a PHP bcrypt algoritmusával, de Robert Graham, az Erratasec vezérigazgatója szerint annak ellenére, hogy ez a jelszavak tárolásának egyik legbiztonságosabb módja, “a hackerek valószínűleg még mindig képesek” feltörni “sok ilyen hash-t annak érdekében, hogy fedezze fel a számlatulajdonos eredeti jelszavát. Ha a fiókok továbbra is online állapotban vannak, ez azt jelenti, hogy a hackerek meg tudják ragadni a fiókokhoz kapcsolódó magánleveleket.
Figyelemre méltó azonban, hogy a csaló webhely a biztonságos hash algoritmus használatakor felülmúlta sok más, az évek során tapasztalt jogsértés áldozata, akik soha nem törődtek az ügyfelek jelszavainak titkosításával.
“Annyira megszoktuk, hogy tiszta szöveget és MD5 hasheket látunk” – mondja Graham. “Frissítő látni, hogy a bcrypt valóban használatban van.”
A hackerek itt mutatták be az új adatbázist:
A múlt havi behatolást követően a hackerek, akik önmagukat Impact Team-nek nevezték, követelték az Avid Life Media-t, az AshleyMadison.com tulajdonosát és társát Az Established Men webhely, vedd le a két oldalt. Az EstablishedMen.com azt ígéri, hogy a gyönyörű fiatal nőket gazdag cukor apukákkal köti össze “életmódjukkal.” nők fiatalabb férfiakkal.
“Az Avid Life Media utasítást kapott, hogy Ashley Madisont és letelepedett férfiakat minden formában tartósan offline állapotban tartsa, különben kiadjuk az összes ügyfél-nyilvántartást, beleértve az összes ügyfél titkos szexuális fantáziájával ellátott profilt is és a hitelkártya-tranzakciók, valódi nevek és címek, valamint az alkalmazottak dokumentumai és e-mailjei “, a hackerek – írta a jogsértést követő nyilatkozatában.
Kapcsolódó linkek
Megmutatásukhoz üzleti tevékenységet jelentett, az ellopott adatok egy részét tartalmazó mintafájlokat tettek közzé, amelyek tartalmazzák a vállalat pénzügyi adatait, részletezve az alkalmazottak fizetését és a vállalat belső hálózatát feltérképező dokumentumokat.
Úgy tűnt, hogy a hackerek AshleyMadison és EstablishedMen embereket célozták meg a megkérdőjelezhető kérdés alatt. erkölcsöket elítéltek és bátorítottak, de felvetették az ALM csaló üzleti gyakorlatának is tekintetét. Annak ellenére, hogy azt ígérték az ügyfeleknek, hogy 19 dolláros díj ellenében töröljék felhasználói adataikat a webhelyről, a vállalat valóban megőrizte az adatokat az ALM szerverein – állították a hackerek. “Kár ezeknek a férfiaknak, piszkos zsákokat csalnak, és nem érdemelnek ilyen diszkréciót” – írták a hackerek. “Kár az ALM-nek, titkolózást ígértél, de nem teljesítettél.”
Az Avid Life Media dacosan figyelmen kívül hagyta a figyelmeztetéseket, és mindkét webhelyet online tartotta a jogsértés után, megígérve az ügyfeleknek, hogy növelte hálózatai biztonságát.
Ez nem számít azoknak az ügyfeleknek, akiknek az adatait már elvették. A fokozott biztonság túl késő lenne számukra. Most a jogsértés legnagyobb esésével szembesülnek: nyilvános zavarban, dühös partnerek haragjában, akik csalásuk áldozatai lehettek, esetleges zsarolással és esetleges csalással bárki előtt, aki használhatja az adatgyűjtőben kitett személyes adatokat és bankkártya-információkat .
“Az Avid Life Media nem tudta lebuktatni Ashley Madisont és a letelepedett embereket” – írta az Impact Team az online dump keddi nyilatkozatában. “Megmagyaráztuk az ALM és tagjaik csalását, álnokságát és hülyeségét. Most mindenki láthatja az adatait … Ne feledje, hogy a webhely több ezer hamis női profilú átverés. Lásd: Ashley Madison álprofil pere; A tényleges felhasználók 90-95% -a férfi.Valószínű, hogy embere feliratkozott a világ legnagyobb ügyoldalára, de még soha nem volt ilyen. Csak megpróbálta. Ha ez a megkülönböztetés számít. “
A hackerek elhárították a felelősséget minden olyan kárért vagy következményért, amelyet a jogsértés és az adatgyűjtés áldozatai szenvedhetnek.
” Itt találja magát? Az ALM bukott meg és hazudott neked. Vád alá vonják őket és kártérítést követelnek. Akkor lépj tovább az életeddel. Tanulja meg a leckét, és jóvátegye. Most kínos, de “túl leszel rajta” – írták.
Fontos Megjegyzendő, hogy Ashley Madison regisztrációs folyamata nem igényli az e-mail cím igazolását a fiók létrehozásához, ezért előfordulhat, hogy a webhely egyes tagjai eltérítették és használták a jogos címeket. Úgy tűnik, hogy az adatgyűjtőben például egy e-mail az Egyesült Királyság volt miniszterelnökéhez (Tony Blair) tartozik.
Az Avid Life Media elítélte az adatok kiadását.
“Ez az esemény nem hacktivizmus, hanem bűncselekmény. Ez egy illegális cselekedet az AshleyMadison.com egyes tagjaival, valamint minden szabadon gondolkodó emberrel szemben, akik teljes mértékben törvényes online tevékenységet folytatnak. ” nyilatkozat. “Az ebben a cselekményben részt vevő bűnöző vagy bűnözők kinevezték magukat erkölcsi bírónak, esküdtnek és hóhérnak, megfelelőnek látva, hogy az erény személyes fogalmát az egész társadalomra rákényszerítsék. Nem fogunk tétlenül ülni, és nem engedjük, hogy ezek a tolvajok erőlködjenek személyes ideológiájukat a polgárokról szerte a világon. “
Ez a történet a fejlődésével frissült.