Gli hacker che hanno rubato informazioni sensibili sui clienti dal sito che tradisce AshleyMadison.com sembrano aver messo in atto la loro minaccia di pubblicare i dati online.
Un data dump, della dimensione di 9,7 gigabyte, è stato pubblicato martedì sul dark web utilizzando un indirizzo Onion accessibile solo tramite il browser Tor. I file sembrano includere i dettagli dell’account e gli accessi per circa 32 milioni di utenti del sito di social networking, pubblicizzato come il sito principale per le persone sposate in cerca di partner per affari. Anche sette anni di carta di credito e altri dettagli sulle transazioni di pagamento fanno parte della discarica. AshleyMadison.com ha affermato di avere quasi 40 milioni di utenti al momento della violazione circa un mese fa, tutti apparentemente sul mercato per collegamenti clandestini.
“Ashley Madison è il nome più famoso nell’infedeltà e negli appuntamenti matrimoniali”, afferma il sito sulla sua home page. “Avere una relazione oggi con Ashley Madison. Migliaia di mogli traditrici e mariti traditori si iscrivono ogni giorno alla ricerca di una relazione … Con il nostro pacchetto di garanzia per relazione, ti garantiamo che troverai il partner perfetto.”
i dati rilasciati dagli hacker includono nomi, password, indirizzi e numeri di telefono inviati dagli utenti del sito, sebbene non sia chiaro quanti membri abbiano fornito dettagli legittimi per aprire account. Un campione dei dati trapelati indica che gli utenti hanno fornito numeri e indirizzi casuali per aprire conti. Ma i file contenenti transazioni con carta di credito probabilmente forniscono nomi e indirizzi reali, a meno che i membri del sito non utilizzassero carte prepagate anonime, che offrono maggiore anonimato. Questi dati, che ammontano a milioni di transazioni di pagamento risalenti al 2008, includono nomi, indirizzo, indirizzo e-mail e importo pagato, ma non i numeri completi della carta di credito; include invece solo quattro cifre per ogni transazione, che potrebbero essere le ultime quattro cifre del numeri di carta di credito o semplicemente un ID transazione univoco per ogni addebito.
Un’analisi degli indirizzi email trovati nel dump dei dati mostra anche che circa 15.000 sono .mil. o indirizzi .gov. Tuttavia, non è chiaro quanti di questi siano indirizzi legittimi.
Anche i dati include le descrizioni di ciò che i membri stavano cercando. “Sto cercando qualcuno che non sia felice a casa o che sia semplicemente annoiato e che cerchi qualche eccitazione”, ha scritto un membro che ha fornito un indirizzo a Ottawa e il nome e il numero di telefono di qualcuno che lavora per la Customs and Immigration Union in Canada. “Mi piace quando vengo chiamato e mi viene detto che ho 15 minuti per arrivare da qualche parte dove verrò accolto alla porta con una sorpresa, forse lingerie, nudità. Mi piace violentare ed essere rapito … Mi piacciono molti preliminari e resistenza, divertimento, discrezione, oralità, persino voglia di sperimentare – * smile * “
Le password rilasciate nel dump dei dati sembrano essere state hash utilizzando l’algoritmo bcrypt per PHP, ma Robert Graham, CEO di Erratasec, afferma che nonostante questo sia uno dei modi più sicuri per memorizzare le password, “è probabile che gli hacker siano ancora in grado di” crackare “molti di questi hash per scoprire la password originale del titolare dell’account. Se gli account sono ancora online, ciò significa che gli hacker saranno in grado di acquisire tutta la corrispondenza privata associata agli account.
È degno di nota, tuttavia, che il sito che tradisce, utilizzando l’algoritmo di hashing sicuro, ha superato molte altre vittime di violazioni che abbiamo visto nel corso degli anni che non si sono mai preoccupate di crittografare le password dei clienti.
“Siamo così abituati a vedere testo in chiaro e hash MD5”, afferma Graham. “È piacevole vedere bcrypt effettivamente utilizzato.”
Ecco come gli hacker hanno introdotto il nuovo data dump:
In seguito all’intrusione del mese scorso, gli hacker, che si chiamavano Impact Team, hanno chiesto ad Avid Life Media, proprietario di AshleyMadison.com e del suo compagno sito Established Men, elimina i due siti. EstablishedMen.com promette di mettere in contatto belle giovani donne con ricchi papà di zucchero “per soddisfare le loro esigenze di stile di vita.” Gli hacker non hanno preso di mira CougarLife, un sito gemello gestito da ALM che promette di connettere i più anziani donne con uomini più giovani.
“Avid Life Media è stato incaricato di portare Ashley Madison e Established Men offline permanentemente in tutte le forme, oppure rilasceremo tutti i record dei clienti, inclusi i profili con tutte le fantasie sessuali segrete dei clienti e corrispondenza di transazioni con carte di credito, nomi e indirizzi reali e documenti ed e-mail dei dipendenti “, gli hacker ha scritto in una dichiarazione a seguito della violazione.
Link correlati
Per mostrarli significava affari, hanno pubblicato file di esempio contenenti alcuni dei dati rubati, che includevano informazioni finanziarie dell’azienda che dettagliavano gli stipendi dei dipendenti e documenti che mappavano la rete interna dell’azienda.
Gli hacker sembravano prendere di mira AshleyMadison e EstablishedMen sulla discutibile morali che condonavano e incoraggiavano, ma contestavano anche quelle che consideravano pratiche commerciali fraudolente di ALM. Nonostante promettesse ai clienti di eliminare i propri dati utente dal sito per una tariffa di $ 19, la società ha effettivamente conservato i dati sui server di ALM, hanno affermato gli hacker. “Peccato per quegli uomini, stanno imbrogliando ciarlatani e non meritano una tale discrezione”, hanno scritto gli hacker. “Peccato per ALM, hai promesso il segreto ma non l’hai mantenuto”.
Avid Life Media con aria di sfida ha ignorato gli avvisi e mantenuto entrambi i siti online dopo la violazione, promettendo ai clienti di aver aumentato la sicurezza delle proprie reti.
Ciò non avrebbe avuto importanza per i clienti i cui dati erano già stati acquisiti. Qualsiasi maggiore sicurezza sarebbe troppo poco e troppo tardi per loro. Ora devono affrontare le più grandi conseguenze della violazione: imbarazzo pubblico, ira di partner arrabbiati che potrebbero essere stati vittime del loro imbroglio, possibile ricatto e potenziale frode da parte di chiunque possa ora utilizzare i dati personali e le informazioni della carta di credito esposte nella discarica dei dati. .
“Avid Life Media non è riuscita a sconfiggere Ashley Madison e gli Established Men”, ha scritto Impact Team in una dichiarazione che accompagna il dump online martedì. “Abbiamo spiegato la frode, l’inganno e la stupidità di ALM e dei suoi membri. Ora tutti possono vedere i loro dati …. Tieni presente che il sito è una truffa con migliaia di profili femminili falsi. Vedi la causa del profilo falso di Ashley Madison; Il 90-95% degli utenti effettivi è di sesso maschile. È probabile che il tuo uomo si sia iscritto al sito di affari più grande del mondo, ma non ne ha mai avuto uno. Ci ha solo provato. Se questa distinzione è importante. “
Gli hacker hanno deviato la responsabilità per eventuali danni o ripercussioni che le vittime della violazione e della discarica di dati potrebbero subire.
” Ti trovi qui? È stato ALM che ti ha deluso e ti ha mentito. Perseguiteli e chiedete i danni. Quindi vai avanti con la tua vita. Impara la lezione e fai ammenda. Ora è imbarazzante, ma “lo supererai”, hanno scritto.
È importante da notare che il processo di registrazione di Ashley Madison non richiede la verifica di un indirizzo e-mail per impostare un account, quindi indirizzi legittimi potrebbero essere stati dirottati e utilizzati da alcuni membri del sito. Un’email nel dump dei dati, ad esempio, sembra appartenere all’ex primo ministro del Regno Unito (Tony Blair).
Avid Life Media ha condannato il rilascio dei dati.
“Questo evento non è un atto di hacktivismo, è un atto di criminalità. È un’azione illegale contro i singoli membri di AshleyMadison.com, così come qualsiasi persona dal pensiero libero che sceglie di impegnarsi in attività online pienamente lecite “, ha affermato la società in un dichiarazione. “Il criminale, oi criminali, coinvolti in questo atto si sono nominati giudice morale, giurato e carnefice, ritenendo opportuno imporre una nozione personale di virtù a tutta la società. Non resteremo a guardare e permetteremo a questi ladri di forzare la loro ideologia personale sui cittadini di tutto il mondo. “
Questa storia è stata aggiornata man mano che si sviluppava.