속임수 사이트 AshleyMadison.com에서 민감한 고객 정보를 훔친 해커는 데이터를 온라인에 게시하겠다는 위협을 잘 처리 한 것으로 보입니다.
9.7GB 크기의 데이터 덤프가 화요일에 Tor 브라우저를 통해서만 액세스 할 수있는 Onion 주소를 사용하여 다크 웹에 게시되었습니다. 이 파일에는 소셜 네트워킹 사이트의 약 3,200 만 명의 사용자에 대한 계정 정보와 로그인이 포함되어있는 것으로 보이며, 파트너를 찾는 결혼 한 개인을위한 최고의 사이트로 선전되었습니다. 7 년 분량의 신용 카드 및 기타 결제 거래 내역도 덤프의 일부입니다. AshleyMadison.com은 약 한 달 전 침해 당시 거의 4 천만 명의 사용자가 있다고 주장했으며, 모두 비밀 연결 시장에있는 것으로 보입니다.
“애슐리 매디슨은 불륜과 결혼 데이트에서 가장 유명한 이름입니다.”라고 사이트는 홈페이지에서 주장합니다. “애슐리 매디슨에서 오늘 바람을 피우십시오. 수천 명의 바람을 피우는 아내와 바람을 피우는 남편이 매일 불륜을 찾습니다 …. 불륜 보장 패키지를 통해 완벽한 불륜 파트너를 찾을 수 있습니다.”
The 해커가 공개 한 데이터에는 사이트 사용자가 제출 한 이름, 비밀번호, 주소 및 전화 번호가 포함되어 있지만, 계정을 개설하기 위해 합법적 인 세부 정보를 제공 한 회원이 몇 명인지는 확실하지 않습니다. 유출 된 데이터의 샘플링은 사용자가 임의의 번호와 주소를 제공했음을 나타냅니다. 그러나 사이트 회원이 더 많은 익명 성을 제공하는 익명의 선불 카드를 사용하지 않는 한 신용 카드 거래가 포함 된 파일은 실제 이름과 주소를 얻을 수 있습니다. 2008 년까지 거슬러 올라가는 수백만 건의 결제 거래에 해당하는이 데이터에는 다음이 포함됩니다. 이름, 주소, 이메일 주소 및 결제 금액 (전체 신용 카드 번호는 포함되지 않음) 대신 각 거래에 대해 4 자리 만 포함됩니다. 신용 카드 번호 또는 단순히 각 청구에 고유 한 거래 ID.
데이터 덤프에서 발견 된 이메일 주소에 대한 분석에 따르면 약 15,000 개가 .mil입니다. 또는 .gov 주소. 그러나 이들 중 몇 개가 합법적 인 주소인지는 확실하지 않습니다.
데이터도 오타와에 주소를 제공 한 한 회원은 회원들이 찾고있는 것에 대한 설명이 포함되어 있습니다. “나는 집에서 행복하지 않거나 지루하고 흥분을 찾는 사람을 찾고 있습니다.” 캐나다 관세 및 이민 연합에서 일하고 있습니다. “내가 전화를 받아 15 분 동안 내가 문에서 놀랍게 인사를받을 수있는 장소에 도착할 시간이 있다는 말을 들었을 때 정말 마음에 듭니다. 나는 매혹적이고 매혹되는 것을 좋아합니다 … 나는 전희와 체력, 재미, 재량, 구두, 심지어 실험에 대한 의지를 좋아합니다 — * 미소 * “
데이터 덤프에서 공개 된 암호는 PHP 용 bcrypt 알고리즘을 사용하여 해싱했지만 Erratasec의 CEO 인 Robert Graham은 이것이 암호를 저장하는 가장 안전한 방법 중 하나 임에도 불구하고 “해커들은 여전히 많은 해시를”크랙 “할 수 있다고 말합니다. 계정 소유자의 원래 암호를 찾으십시오. 계정이 아직 온라인 상태 인 경우 해커가 계정과 관련된 모든 개인 서신을 얻을 수 있습니다.
그러나 보안 해싱 알고리즘을 사용하는 치팅 사이트가이를 능가했습니다. 수년 동안 고객 비밀번호를 암호화하는 데 전혀 신경을 쓰지 않은 다른 많은 침해 피해자가 있습니다.
“우리는 일반 텍스트와 MD5 해시를 보는 데 너무 익숙합니다.”라고 Graham은 말합니다. “bcrypt가 실제로 사용되는 것을 보면 기분이 상쾌합니다.”
해커가 새로운 데이터 덤프를 도입 한 방법은 다음과 같습니다.
지난 달 침입 이후 스스로를 Impact Team이라고 불렀던 해커들은 AshleyMadison.com과 그 동료의 소유자 인 Avid Life Media를 요구했습니다. Established Men.com은 아름다운 젊은 여성과 풍부한 설탕 아빠를 연결하여 “라이프 스타일 요구 사항을 충족”할 것을 약속합니다. 해커는 ALM에서 운영하는 자매 사이트 인 CougarLife를 대상으로하지 않았습니다. 젊은 남성과 여성.
“Avid Life Media는 모든 형태의 Ashley Madison과 Established Men을 영구적으로 오프라인으로 전환하도록 지시 받았습니다. 그렇지 않으면 모든 고객의 비밀 성적 환상이있는 프로필을 포함한 모든 고객 기록을 공개 할 것입니다. 신용 카드 거래, 실명 및 주소, 직원 문서 및 이메일과 일치합니다. ” 위반 후 성명을 작성했습니다.
관련 링크
표시 비즈니스를 의미하는 것으로, 직원 급여를 자세히 설명하는 회사 재무 정보와 회사 내부 네트워크를 매핑하는 문서가 포함 된 일부 훔친 데이터가 포함 된 샘플 파일을 게시했습니다.
해커는 의심스러운 문제에 대해 AshleyMadison과 EstablishedMen을 표적으로 삼는 것으로 보입니다. 그들은 묵과하고 장려 한 도덕을 묵인했지만, ALM의 사기성 비즈니스 관행에 대해 문제를 제기했습니다. 해커들은 고객이 19 달러의 수수료를 내고 사이트에서 사용자 데이터를 삭제하겠다고 약속 했음에도 불구하고 실제로 ALM 서버에 데이터를 보관했다고 해커들은 주장했습니다. 해커들은 “그 남자들에게는 너무 나쁘고 속임수를 쓰고 있으며 그러한 재량권을 가질 자격이 없습니다. 경고를 무시하고 위반 후 두 사이트를 모두 온라인 상태로 유지하면서 고객에게 네트워크 보안을 강화했다고 약속했습니다.
이미 데이터를 가져온 고객에게는 문제가되지 않습니다. 보안 강화는 그들에게 너무 늦을 것입니다. 이제 그들은 침해로 인한 가장 큰 결과에 직면합니다. 공개적 당혹감, 부정 행위의 희생자 일 수있는 화난 파트너의 분노, 이제 데이터 덤프에 노출 된 개인 데이터 및 은행 카드 정보를 사용할 수있는 사람의 잠재적 인 사기 가능성, 협박 가능성 .
“Avid Life Media는 Ashley Madison과 Established Men을 쓰러 뜨리는 데 실패했습니다.”라고 Impact Team은 화요일 온라인 덤프에 첨부 된 성명에서 썼습니다. “우리는 ALM과 그 회원들의 사기,기만 및 어리 석음을 설명했습니다. 이제 모든 사람이 자신의 데이터를 볼 수 있습니다 ….이 사이트는 수천 개의 가짜 여성 프로필이 포함 된 사기 사이트임을 명심하십시오. ashley madison 가짜 프로필 소송을 참조하십시오. 실제 사용자의 90-95 %는 남성입니다. 당신의 남자는 세계에서 가장 큰 사건 사이트에 가입했지만 한 번도 없었을 가능성이 있습니다. 그는 방금 시도했습니다. 그 차이가 중요하다면. “
해커는 침해 및 데이터 덤프의 피해자가 겪을 수있는 모든 피해 나 영향에 대한 책임을 무시했습니다.
“여기에서 자신을 찾으십니까? 당신을 실패시키고 거짓말을 한 것은 ALM이었습니다. 그들을 기소하고 손해 배상을 청구하십시오. 그런 다음 인생을 계속하십시오. 당신의 교훈을 배우고 수정하십시오. 지금 당황 스럽지만 “이겨낼 것입니다”라고 그들은 썼습니다.
중요 Ashley Madison의 가입 프로세스는 계정을 설정하기 위해 이메일 주소 확인이 필요하지 않으므로 사이트의 일부 회원이 합법적 인 주소를 도용하여 사용했을 수 있습니다. 예를 들어 데이터 덤프의 이메일 중 하나는 전 영국 총리 (Tony Blair)의 것으로 보입니다.
Avid Life Media는 데이터 공개를 비난했습니다.
” 이는 핵티비즘이 아니라 범죄 행위입니다. AshleyMadison.com의 개별 회원과 완전히 합법적 인 온라인 활동에 참여하기로 선택한 자유 사고를 가진 사람들에 대한 불법 행위입니다. ” 성명서. “이 행위에 연루된 범죄자 또는 범죄자들은 사회 전체에 개인적인 미덕의 개념을 강요하기에 적합하다고 판단하여 스스로를 도덕적 판사, 배심원 및 집행자로 임명했습니다. 우리는 이러한 도둑들이 멍하니 앉아있는 것을 허용하지 않을 것입니다. 전 세계 시민에 대한 개인적인 이데올로기입니다. “
이 이야기는 발전하면서 업데이트되었습니다.