不正サイトAshleyMadison.comから顧客の機密情報を盗んだハッカーは、データをオンラインで投稿するという脅迫をうまく行ったようです。
火曜日に、Torブラウザからのみアクセス可能なオニオンアドレスを使用して、9.7ギガバイトのサイズのデータダンプがダークウェブに投稿されました。ファイルには、ソーシャルネットワーキングサイトの約3200万人のユーザーのアカウントの詳細とログインが含まれているようです。これは、情事のパートナーを探している既婚者向けの最高のサイトとして宣伝されています。 7年分のクレジットカードやその他の支払い取引の詳細もダンプの一部です。 AshleyMadison.comは、約1か月前の侵害の時点で、4,000万人近くのユーザーがいると主張しており、すべてが秘密のフックアップの市場にいるようです。
「アシュレイマディソンは不貞と結婚したデートで最も有名な名前です」と、サイトはそのホームページで主張しています。 「今日、アシュレイ・マディソンで浮気をします。何千人もの浮気妻と浮気夫が毎日、浮気を探して申し込みます。…私たちの浮気保証パッケージで、あなたが完璧な浮気パートナーを見つけることを保証します。」
ハッカーが公開したデータには、サイトのユーザーから送信された名前、パスワード、住所、電話番号が含まれますが、アカウントを開くために正当な詳細を提供したメンバーの数は不明です。リークされたデータのサンプリングは、ユーザーがランダムな番号とアドレスを提供したことを示していますただし、サイトのメンバーが匿名性の高い匿名のプリペイドカードを使用していない限り、クレジットカード取引を含むファイルには、実際の名前と住所が含まれる可能性があります。このデータは、2008年に遡る数百万件の支払い取引に相当します。名前、住所、電子メールアドレス、および支払われた金額。ただし、完全なクレジットカード番号は含まれません。代わりに、トランザクションごとに4桁のみが含まれます。これは、実際には、クレジットカード番号または単に各請求に固有のトランザクションID。
データダンプで見つかった電子メールアドレスの1つの分析でも、約15,000が.milであることが示されています。または.govアドレス。ただし、これらのうち正当なアドレスがいくつあるかは明らかではありません。
データもオタワで住所を教えてくれたあるメンバーと、メンバーが探していたものの説明が含まれています。「家で幸せではない、または退屈して興奮している人を探しています」と、オタワで住所を提供したメンバーの名前と電話番号を書いています。カナダの税関入国管理局で働いています。「電話がかかってきたら、15分でどこかに行くことができると言われました」と、ドアに驚きの挨拶があります。おそらくランジェリー、裸です。私は魅了するのが好きです…私はたくさんの前戯とスタミナ、楽しさ、裁量、口頭、さらには実験する意欲が好きです— *笑顔* “
データダンプでリリースされたパスワードはPHPのbcryptアルゴリズムを使用してハッシュされましたが、ErratasecのCEOであるRobert Grahamは、これがパスワードを保存する最も安全な方法の1つであるにもかかわらず、「ハッカーは、これらのハッシュの多くを「クラック」できる可能性が高いと述べています。アカウント所有者の元のパスワードを見つけます。」アカウントがまだオンラインの場合、これはハッカーがアカウントに関連付けられた個人的な通信を取得できることを意味します。
ただし、安全なハッシュアルゴリズムを使用することで、不正行為サイトがそれを上回ったことは注目に値します。顧客のパスワードを暗号化することを決して気にしない、私たちが何年にもわたって見た違反の多くの他の犠牲者。
「私たちはクリアテキストとMD5ハッシュを見るのにとても慣れています」とGrahamは言います。 「bcryptが実際に使用されているのを見るのは新鮮です。」
ハッカーが新しいデータダンプを導入した方法は次のとおりです:
先月の侵入に続いて、自分たちをインパクトチームと呼んだハッカーは、AshleyMadison.comとその仲間の所有者であるAvid LifeMediaに要求しました。サイトEstablishedMen、2つのサイトを削除します。EstablishedMen.comは、美しい若い女性と豊かな砂糖のお父さんを「ライフスタイルのニーズを満たすために」接続することを約束します。ハッカーは、ALMが運営する姉妹サイトであるCougarLifeをターゲットにしませんでした。若い男性の女性。
「AvidLifeMediaは、アシュレイマディソンと確立された男性をあらゆる形式で永久にオフラインにするように指示されています。または、すべての顧客の秘密の性的ファンタジーのプロファイルを含むすべての顧客記録を公開します。クレジットカードの取引、本名と住所、従業員の文書とメールの照合」とハッカーは語った。違反に続く声明に書いた。
関連リンク
表示するには彼らはビジネスを意味し、盗まれたデータの一部を含むサンプルファイルを投稿しました。これには、従業員の給与の詳細を示す会社の財務情報や、会社の内部ネットワークをマッピングする文書が含まれていました。彼らは容認し、奨励した道徳だけでなく、ALMの不正な商慣行と見なしたものにも問題を抱えていました。 19ドルの手数料でサイトからユーザーデータを削除することを顧客に約束したにもかかわらず、同社は実際にALMのサーバーにデータを保持していたとハッカーは主張しました。 「それらの男性にとってはあまりにも悪い、彼らはダートバッグをだましていて、そのような裁量に値しない」とハッカーは書いた。「ALMにとってはあまりにも悪い、あなたは秘密を約束したが、提供しなかった。」警告を無視し、侵害後も両方のサイトをオンラインに保ち、ネットワークのセキュリティを強化したことを顧客に約束しました。
データがすでに取得されている顧客にとっては問題ではありません。セキュリティを強化することは、彼らにとって遅すぎるでしょう。今、彼らは違反からの最大のフォールアウトに直面しています:公共の恥ずかしさ、彼らの不正行為の犠牲者であったかもしれない怒っているパートナーの怒り、恐喝の可能性、そしてデータダンプで公開された個人データと銀行カード情報を使用する可能性のある人からの潜在的な詐欺。
「AvidLifeMediaはAshleyMadisonとEstablishedMenを倒すことができませんでした」と、ImpactTeamは火曜日のオンラインダンプに付随する声明の中で書いています。 「ALMとそのメンバーの詐欺、欺瞞、愚かさについて説明しました。今では誰もが自分のデータを見ることができます。このサイトは何千もの偽の女性プロフィールを持った詐欺であることに注意してください。アシュレイマディソンの偽プロフィール訴訟をご覧ください。実際のユーザーの90〜95%は男性です。おそらく、あなたの男性は世界最大の事件サイトに登録していますが、一度も登録したことはありません。彼はちょうどしようとしました。その区別が重要な場合。」
ハッカーは、侵害やデータダンプの被害者が被る可能性のある損害や影響に対する責任を逸らしました。
「ここにいるのですか?あなたを失敗させ、あなたに嘘をついたのはALMでした。それらを起訴し、損害賠償を請求します。その後、あなたの人生を続けてください。あなたのレッスンを学び、償いをしてください。今は恥ずかしいですが、あなたは「それを乗り越えるでしょう」と彼らは書いています。
それは重要ですアシュレイマディソンのサインアッププロセスでは、アカウントを設定するために電子メールアドレスの確認が必要ないため、サイトの一部のメンバーによって正当なアドレスが乗っ取られて使用された可能性があることに注意してください。たとえば、データダンプ内の1通のメールは元英国首相(トニーブレア)のものであるようです。
AvidLifeMediaはデータの公開を非難しました。
「このイベントこれはハクティビズムの行為ではなく、犯罪行為です。これは、AshleyMadison.comの個々のメンバー、および完全に合法的なオンライン活動に従事することを選択した自由な発想の人々に対する違法行為です」と同社は述べています。ステートメント。 「この行為に関与する犯罪者は、社会全体に個人的な美徳の概念を課すのにふさわしいと考えて、道徳的な裁判官、陪審員、および処刑人として自分自身を任命しました。私たちはこれらの泥棒のそばに座って強制することを許可しません世界中の市民に対する彼らの個人的なイデオロギー。」
この物語は発展するにつれて更新されました。