Hackers die gevoelige klantinformatie van de valssite AshleyMadison.com hebben gestolen, lijken hun dreigement om de gegevens online te plaatsen, goed te hebben gedaan.
Een gegevensdump van 9,7 gigabyte werd dinsdag op het dark web gepost met een Onion-adres dat alleen toegankelijk is via de Tor-browser. De bestanden lijken accountgegevens en aanmeldingen te bevatten voor ongeveer 32 miljoen gebruikers van de sociale netwerksite, die wordt aangeprezen als de belangrijkste site voor gehuwde personen die op zoek zijn naar partners voor zaken. Zeven jaar aan creditcard- en andere betalingstransactiegegevens maken ook deel uit van de puinhoop. AshleyMadison.com beweerde ongeveer een maand geleden bijna 40 miljoen gebruikers te hebben op het moment van de inbreuk, allemaal kennelijk op de markt voor clandestiene contacten.
“Ashley Madison is de meest bekende naam in ontrouw en dating voor huwelijken”, beweert de site op de homepage. “Heb vandaag een affaire op Ashley Madison. Duizenden vreemdgaande vrouwen en vreemdgaande echtgenoten melden zich elke dag aan op zoek naar een affaire … Met ons affaire-garantiepakket garanderen wij dat u de perfecte affaire-partner zult vinden.”
De gegevens die door de hackers zijn vrijgegeven, omvatten namen, wachtwoorden, adressen en telefoonnummers die zijn ingediend door gebruikers van de site, hoewel het onduidelijk is hoeveel leden legitieme details hebben verstrekt om accounts te openen. Een steekproef van de gelekte gegevens geeft aan dat gebruikers willekeurige nummers en adressen hebben opgegeven om accounts te openen. Maar bestanden met creditcardtransacties leveren waarschijnlijk echte namen en adressen op, tenzij leden van de site anonieme prepaidkaarten gebruikten, die meer anonimiteit bieden. Deze gegevens, die neerkomen op miljoenen betalingstransacties die teruggaan tot 2008, omvatten naam, adres, e-mailadres en betaald bedrag, maar niet de volledige creditcardnummers; in plaats daarvan bevat het slechts vier cijfers voor elke transactie, wat in feite de laatste vier cijfers van de creditcardnummers of gewoon een transactie-ID die uniek is voor elke afschrijving.
Een analyse van e-mailadressen in de datadump toont ook aan dat ongeveer 15.000 .mil zijn. of .gov-adressen. Het is echter niet duidelijk hoeveel hiervan legitieme adressen zijn.
De gegevens ook bevat beschrijvingen van wat leden zochten. “Ik” ben op zoek naar iemand die “niet gelukkig is thuis of gewoon verveeld en op zoek is naar wat opwinding”, schreef een lid die een adres in Ottawa gaf en de naam en het telefoonnummer van iemand die werkt voor de douane- en immigratie-unie in Canada. ‘Ik vind het geweldig als ik bel dat ik 15 minuten heb om ergens te komen waar ik met een verrassing aan de deur word begroet – misschien lingerie, naaktheid. Ik hou van verkrachting en verrukking … Ik hou van veel voorspel en uithoudingsvermogen, plezier, discretie, mondeling, zelfs bereidheid om te experimenteren – * smile * “
Wachtwoorden die in de gegevensdump zijn vrijgegeven, lijken te zijn gehasht met behulp van het bcrypt-algoritme voor PHP, maar Robert Graham, CEO van Erratasec, zegt dat ondanks dat dit een van de veiligste manieren is om wachtwoorden op te slaan, “hackers waarschijnlijk nog steeds veel van deze hashes kunnen” kraken “om ontdek het originele wachtwoord van de accounthouder. Als de accounts nog steeds online zijn, betekent dit dat hackers alle privécorrespondentie kunnen bemachtigen die aan de accounts is gekoppeld.
Het is echter opmerkelijk dat de cheat-site, door het gebruik van het veilige hash-algoritme, overtrof veel andere slachtoffers van inbreuken die we in de loop der jaren hebben gezien, die nooit de moeite hebben genomen om wachtwoorden van klanten te versleutelen.
“We zijn zo gewend aan cleartext en MD5-hashes”, zegt Graham. “Het is verfrissend om te zien dat bcrypt daadwerkelijk wordt gebruikt.”
Hier is hoe de hackers de nieuwe datadump hebben geïntroduceerd:
Na de inbraak vorige maand eisten de hackers, die zichzelf het Impact Team noemden, dat Avid Life Media, eigenaar van AshleyMadison.com en zijn metgezel site Established Men, verwijder de twee sites. EstablishedMen.com belooft mooie jonge vrouwen in contact te brengen met rijke sugar daddies “om aan hun levensstijlbehoeften te voldoen.” De hackers hadden zich niet gericht op CougarLife, een zustersite van ALM die belooft oudere vrouwen met jongere mannen.
“Avid Life Media heeft de opdracht gekregen om Ashley Madison en Established Men permanent offline te halen in alle vormen, of we zullen alle klantgegevens vrijgeven, inclusief profielen met alle geheime seksuele fantasieën van de klanten en het matchen van creditcardtransacties, echte namen en adressen, en documenten en e-mails van werknemers, “de hackers schreef in een verklaring naar aanleiding van de inbreuk.
Gerelateerde links
Om ze te laten zien bedoelde zaken, plaatsten ze voorbeeldbestanden met een deel van de gestolen gegevens, waaronder financiële informatie van het bedrijf met details over de salarissen van werknemers en documenten die het interne netwerk van het bedrijf in kaart brachten.
De hackers leken AshleyMadison en EstablishedMen te targeten vanwege de twijfelachtige moraal die ze goedkeurden en aanmoedigden, maar ze hadden ook bezwaar tegen wat ze beschouwden als de frauduleuze zakelijke praktijken van ALM. Ondanks de belofte dat klanten hun gebruikersgegevens van de site zouden verwijderen voor een vergoeding van $ 19, bewaarde het bedrijf de gegevens in feite op de servers van ALM, beweerden de hackers. “Jammer voor die mannen, ze bedriegen vuilniszakken en verdienen die discretie niet”, schreven de hackers. “Jammer voor ALM, je beloofde geheimhouding maar kwam niet waar.”
Avid Life Media uitdagend negeerde de waarschuwingen en hield beide sites online na de inbreuk, en beloofde klanten dat het de beveiliging van zijn netwerken had verbeterd.
Dat zou niet uitmaken voor de klanten van wie de gegevens al waren gebruikt. Elke verhoogde beveiliging zou voor hen te weinig te laat zijn. Nu worden ze geconfronteerd met de grootste gevolgen van de inbreuk: openbare verlegenheid, de woede van boze partners die mogelijk het slachtoffer zijn geworden van hun bedrog, mogelijke chantage en mogelijke fraude door iedereen die nu de persoonlijke gegevens en bankpasinformatie gebruikt die in de datadump wordt onthuld .
“Avid Life Media is er niet in geslaagd Ashley Madison en Established Men neer te halen”, schreef Impact Team in een verklaring bij de online dump dinsdag. “We hebben de fraude, het bedrog en de domheid van ALM en hun leden uitgelegd. Nu krijgt iedereen hun gegevens te zien … Houd er rekening mee dat de site een oplichterij is met duizenden nepprofielen voor vrouwen. Zie Ashley Madison nepprofiel-rechtszaak; 90-95% van de daadwerkelijke gebruikers is man. De kans is groot dat uw man zich heeft aangemeld op ’s werelds grootste affaire-site, maar er nooit een heeft gehad. Hij probeerde het gewoon. Als dat onderscheid ertoe doet. “
De hackers wijzen de verantwoordelijkheid af voor eventuele schade of repercussies die slachtoffers van de inbreuk en datadump kunnen lijden.
” Vind je jezelf hier? Het was ALM die je in de steek liet en tegen je loog. Vervolg hen en eis schadevergoeding. Ga dan verder met je leven. Leer uw les en maak het goed. Nu gênant, maar je komt er wel overheen, schreven ze.
Het is belangrijk om op te merken dat het aanmeldingsproces van Ashley Madison geen verificatie van een e-mailadres vereist om een account aan te maken, dus legitieme adressen kunnen zijn gekaapt en gebruikt door sommige leden van de site. Een e-mail in de datadump lijkt bijvoorbeeld van de voormalige Britse premier (Tony Blair) te zijn.
Avid Life Media veroordeelde de vrijgave van de gegevens.
“Deze gebeurtenis is geen daad van hacktivisme, het is een daad van criminaliteit. Het is een illegale actie tegen de individuele leden van AshleyMadison.com, evenals tegen alle vrijdenkende mensen die ervoor kiezen om volledig legale online activiteiten te ontplooien ”, aldus het bedrijf in een uitspraak. “De misdadiger, of misdadigers, die bij deze daad betrokken zijn, hebben zichzelf aangesteld als de morele rechter, het jurylid en de beul, omdat ze het gepast achten de hele samenleving een persoonlijk begrip van deugd op te leggen. We zullen niet werkeloos toekijken en toestaan dat deze dieven dwingen hun persoonlijke ideologie over burgers over de hele wereld. “
Dit verhaal werd bijgewerkt terwijl het zich ontwikkelde.