Hackere som stjal sensitiv kundeinformasjon fra juksesiden AshleyMadison.com ser ut til å ha gjort godt med trusselen om å legge ut dataene på nettet.
> En datadump, 9,7 gigabyte i størrelse, ble lagt ut på tirsdag til det mørke nettet ved hjelp av en Onion-adresse som bare er tilgjengelig via Tor-nettleseren. Filene ser ut til å inneholde kontodetaljer og pålogginger for rundt 32 millioner brukere av nettstedet for sosiale nettverk, utpekt som det fremste nettstedet for gifte personer som søker partnere for saker. Syv års verdi av kredittkort og annen betalingstransaksjon er også en del av dumpen. AshleyMadison.com hevdet å ha nesten 40 millioner brukere på tidspunktet for bruddet for omtrent en måned siden, alt tilsynelatende i markedet for hemmelige tilkoblinger.
«Ashley Madison er det mest berømte navnet i utroskap og gift dating,» hevder nettstedet på hjemmesiden. «Ha en affære i dag på Ashley Madison. Tusenvis av utro koner og utro ektemenn registrerer seg hver dag på jakt etter en affære …. Med vår affæregarantipakke garanterer vi at du finner den perfekte partner.»
The data utgitt av hackerne inkluderer navn, passord, adresser og telefonnumre som er sendt inn av brukere av nettstedet, selv om det er uklart hvor mange medlemmer som har gitt legitime detaljer for å åpne kontoer. Et utvalg av de lekkede dataene indikerer at brukerne oppga tilfeldige tall og adresser for å åpne kontoer. Men filer som inneholder kredittkorttransaksjoner, gir sannsynligvis reelle navn og adresser, med mindre medlemmer av nettstedet brukte anonyme forhåndsbetalte kort, som gir mer anonymitet. Disse dataene, som utgjør millioner av betalingstransaksjoner tilbake til 2008, inkluderer navn, gateadresse, e-postadresse og betalt beløp, men ikke hele kredittkortnummeret; i stedet inneholder det bare fire sifre for hver transaksjon, som faktisk kan være de fire siste sifrene i kredittkortnumre eller bare en transaksjons-ID som er unik for hver kostnad.
En analyse av e-postadresser som er funnet i datadumpen viser også at rundt 15 000 er .mil. eller .gov-adresser. Det er imidlertid ikke klart hvor mange av disse som er legitime adresser.
Dataene også inkluderer beskrivelser av hva medlemmene søkte etter. «Jeg ser etter noen som ikke er lykkelige hjemme eller bare kjeder seg og ser etter litt spenning,» skrev et medlem som oppgav en adresse i Ottawa og navnet og telefonnummeret til noen som jobber for toll- og innvandringsunionen i Canada. «Jeg elsker det når jeg ringte og fortalte at jeg har 15 minutter til å komme meg til et sted hvor jeg» blir møtt på døra med en overraskelse – kanskje undertøy, nakenhet. Jeg liker å overraske og bli herjet … Jeg liker mye forspill og utholdenhet, moro, skjønn, muntlig, til og med vilje til å eksperimentere – * smil * «
Passord som er utgitt i datadumpen ser ut til å ha vært hashed ved hjelp av bcrypt-algoritmen for PHP, men Robert Graham, administrerende direktør i Erratasec, sier at til tross for at dette er en av de sikreste måtene å lagre passord på, «er hackere sannsynligvis fortsatt i stand til å» knekke «mange av disse hasjene for å oppdag kontoinnehaverens originale passord. Hvis kontoene fremdeles er online, betyr dette at hackere vil kunne hente privat korrespondanse knyttet til kontoene.
Det er imidlertid bemerkelsesverdig at juksesiden, ved å bruke den sikre hashing-algoritmen, overgikk mange andre ofre for brudd vi har sett gjennom årene som aldri gadd å kryptere kundepassord.
«Vi er så vant til å se klartekst og MD5-hashes,» sier Graham. «Det er forfriskende å se at bcrypt faktisk blir brukt.»
Slik introduserte hackerne den nye datadumpen:
Etter innbruddet i forrige måned, krevde hackerne, som kalte seg Impact Team, at Avid Life Media, eier av AshleyMadison.com og dets følgesvenn site Established Men, ta ned de to sidene. EstablishedMen.com lover å koble vakre unge kvinner med rike sukkerfarer «for å oppfylle deres livsstilsbehov.» Hackerne målrettet ikke mot CougarLife, et søsterside drevet av ALM som lover å koble eldre kvinner med yngre menn.
«Avid Life Media har fått beskjed om å ta Ashley Madison og Established Men offline permanent i alle former, ellers vil vi frigjøre alle kundeoppføringer, inkludert profiler med alle kundenes hemmelige seksuelle fantasier. og samsvarende kredittkorttransaksjoner, ekte navn og adresser, og ansattes dokumenter og e-poster, «hackerne skrev i en uttalelse etter bruddet.
Relaterte lenker
For å vise de ment forretning, la de ut eksempler på filer som inneholder noen av stjålne data, som inkluderte finansiell informasjon om selskapet som beskriver lønn for ansatte og dokumenter som kartlegger selskapets interne nettverk.
Hackerne så ut til å målrette AshleyMadison og EstablishedMen over den tvilsomme. moral de godtok og oppmuntret, men de tok også anledning til det de betraktet som ALMs falske forretningspraksis. Til tross for at kundene lovet å slette brukerdataene sine fra nettstedet mot et gebyr på $ 19, beholdt selskapet faktisk dataene på ALMs servere, hevdet hackerne. «Synd for de mennene, de jukser søppelsekker og fortjener ikke noe slikt skjønn,» skrev hackerne. «Synd for ALM, du lovet hemmelighold, men leverte ikke.»
Avid Life Media trossig ignorerte advarslene og holdt begge sidene online etter bruddet, og lovet kundene at det hadde økt sikkerheten i nettverkene.
Det ville ikke ha betydning for kundene hvis data allerede var tatt. Enhver økt sikkerhet ville være for lite for sent for dem. Nå står de overfor det største nedfallet fra bruddet: offentlig forlegenhet, sinne av sinte partnere som kan ha vært ofre for juks, mulig utpressing og potensiell svindel fra alle som nå kan bruke personopplysningene og bankkortinformasjonen som er utsatt i datadumpen .
«Avid Life Media har ikke klart å ta ned Ashley Madison og Established Men,» skrev Impact Team i en uttalelse som fulgte med online dumpet tirsdag. «Vi har forklart svindel, bedrag og dumhet fra ALM og deres medlemmer. Nå får alle se dataene deres … Husk at nettstedet er en svindel med tusenvis av falske kvinnelige profiler. Se søksmål om falske profiler fra Ashley Madison; 90-95% av de faktiske brukerne er menn. Sjansene er at mannen din registrerte seg på verdens største affæreside, men aldri hadde en. Det prøvde han bare. Hvis dette skillet betyr noe. «
Hackerne avviste ansvaret for eventuelle skader eller konsekvenser som ofre for brudd og datadump kan lide.
» Finn deg her inne? Det var ALM som sviktet deg og løy for deg. Rettsforfølge dem og kreve erstatning. Gå så videre med livet ditt. Lær leksjonen din og gjør det godt. Pinlig nå, men du «kommer over det,» skrev de.
Det er viktig å merke seg at Ashley Madisons registreringsprosess ikke krever bekreftelse av en e-postadresse for å opprette en konto, så legitime adresser kan ha blitt kapret og brukt av noen medlemmer av nettstedet. En e-post i datadumpen ser for eksempel ut til å tilhøre den tidligere britiske statsministeren (Tony Blair).
Avid Life Media fordømte utgivelsen av dataene.
«Denne hendelsen er ikke en handling av hacktivisme, det er en handling av kriminalitet. Det er en ulovlig handling mot de enkelte medlemmene av AshleyMadison.com, så vel som alle fritt tenkende mennesker som velger å delta i fullt lovlige online-aktiviteter, «sa selskapet i en uttalelse. «De kriminelle, eller kriminelle som er involvert i denne handlingen, har utnevnt seg selv til den moralske dommeren, jurymedlemmet og bøddelen, og ser det som hensiktsmessig å pålegge hele samfunnet en forestilling om dyd. Vi vil ikke sitte stille ved og la disse tyvene tvinge deres personlige ideologi om borgere over hele verden. «
Denne historien ble oppdatert etter hvert som den utviklet seg.