Wygląda na to, że hakerzy, którzy ukradli poufne informacje klientów ze strony oszukującej AshleyMadison.com, zrobili coś, co groziło ich opublikowaniem w Internecie.
Zrzut danych o rozmiarze 9,7 gigabajta został wysłany we wtorek do ciemnej sieci przy użyciu adresu Onion dostępnego tylko przez przeglądarkę Tor. Wydaje się, że pliki zawierają szczegóły kont i dane logowania około 32 milionów użytkowników serwisu społecznościowego, reklamowanego jako najważniejsza witryna dla małżonków poszukujących partnerów do romansów. Siedmioletnie dane karty kredytowej i inne szczegóły transakcji płatniczych również są częścią zrzutu. AshleyMadison.com twierdziła, że w momencie naruszenia około miesiąca temu miała prawie 40 milionów użytkowników, wszyscy najwyraźniej na rynku tajnych połączeń.
„Ashley Madison to najsłynniejsze nazwisko w dziedzinie niewierności i randek małżeńskich” – twierdzi strona na swojej stronie głównej. „Miej dziś romans na Ashley Madison. Tysiące oszukujących żon i oszukujących mężów rejestruje się każdego dnia, szukając romansu… Dzięki naszemu pakietowi gwarancji na romans gwarantujemy, że znajdziesz idealnego partnera do romansu.”
dane ujawnione przez hakerów obejmują imiona i nazwiska, hasła, adresy i numery telefonów przesłane przez użytkowników witryny, chociaż nie jest jasne, ilu członków podało wiarygodne informacje w celu otwarcia kont. Próbka ujawnionych danych wskazuje, że użytkownicy podali losowe numery i adresy do otwierania kont. Jednak pliki zawierające transakcje kartami kredytowymi prawdopodobnie zawierają prawdziwe nazwiska i adresy, chyba że członkowie witryny używali anonimowych kart przedpłaconych, które zapewniają większą anonimowość. Dane te, które obejmują miliony transakcji płatniczych od 2008 roku, obejmują imiona i nazwiska, adres, adres e-mail i zapłacona kwota, ale nie pełne numery kart kredytowych; zamiast tego zawiera tylko cztery cyfry dla każdej transakcji, które mogą w rzeczywistości być czterema ostatnimi cyframi numery kart kredytowych lub po prostu identyfikator transakcji unikalny dla każdego obciążenia.
Analiza adresów e-mail znalezionych w zrzucie danych pokazuje również, że około 15 000 to mil. lub .gov. Nie jest jednak jasne, ile z tych adresów to prawidłowe adresy.
Dane również zawiera opis tego, czego szukali członkowie. „Szukam kogoś, kto nie jest szczęśliwy w domu lub po prostu się nudzi i szuka podniecenia” – napisał jeden z członków, który podał adres w Ottawie oraz nazwisko i numer telefonu osoby, pracuje dla Unii Celnej i Imigracyjnej w Kanadzie. „Uwielbiam to, kiedy zadzwoniłem i powiedziano mi, że mam 15 minut na dotarcie do miejsca, w którym zostanę przywitana w drzwiach z niespodzianką – może bielizna, nagość”. Lubię się zachwycać i zachwycać … Lubię dużo gry wstępnej i wytrzymałości, zabawy, dyskrecji, ustnej, a nawet chęć eksperymentowania – * uśmiech * ”
Hasła ujawnione w zrzucie danych wydają się być haszowane przy użyciu algorytmu bcrypt dla PHP, ale Robert Graham, dyrektor generalny Erratasec, mówi, że pomimo tego, że jest to jeden z najbezpieczniejszych sposobów przechowywania haseł, „hakerzy nadal prawdopodobnie będą w stanie„ złamać ”wiele z tych skrótów, aby odkryć oryginalne hasło właściciela konta. Jeśli konta nadal są online, oznacza to, że hakerzy będą mogli przechwycić prywatną korespondencję powiązaną z kontami.
Warto jednak zauważyć, że oszukująca witryna, korzystając z bezpiecznego algorytmu haszowania, przekroczyła wiele innych ofiar włamań, które widzieliśmy przez lata, a które nigdy nie zadały sobie trudu, aby zaszyfrować hasła klientów.
„Jesteśmy przyzwyczajeni do zwykłego tekstu i skrótów MD5” – mówi Graham. „Odświeża się, że bcrypt jest rzeczywiście używany.”
Oto jak hakerzy wprowadzili nowy zrzut danych:
Po włamaniu w zeszłym miesiącu hakerzy, którzy nazwali siebie zespołem Impact, zażądali od firmy Avid Life Media, właściciela AshleyMadison.com i jej towarzysza strona Established Men, usuń te dwie witryny. EstablishedMen.com obiecuje, że połączy piękne młode kobiety z bogatymi cukrowcami „w celu zaspokojenia ich potrzeb związanych ze stylem życia”. Hakerzy nie atakowali CougarLife, siostrzanej witryny zarządzanej przez ALM, która obiecuje połączyć kobiety z młodszymi mężczyznami.
„Avid Life Media otrzymało polecenie przeniesienia Ashley Madison i Established Men do trybu offline na stałe we wszystkich formach lub udostępnimy wszystkie dane klientów, w tym profile ze wszystkimi sekretnymi fantazjami seksualnymi klientów i pasujące transakcje kartami kredytowymi, prawdziwe nazwiska i adresy oraz dokumenty pracowników i e-maile ”- hakerzy napisane w oświadczeniu po naruszeniu.
Powiązane linki
Aby je pokazać oznaczały biznes, opublikowali przykładowe pliki zawierające niektóre skradzione dane, które obejmowały informacje finansowe firmy ze szczegółami dotyczącymi wynagrodzeń pracowników oraz dokumenty mapujące wewnętrzną sieć firmy.
Hakerzy najwyraźniej zaatakowali AshleyMadison i EstablishedMen w wątpliwej moralności, którą akceptowali i do której zachęcali, ale nie zgadzali się również z tym, co uważali za oszukańcze praktyki biznesowe ALM. Hakerzy twierdzili, że pomimo obiecanych klientom usunięcia danych użytkowników z witryny za 19 USD, firma faktycznie zachowała dane na serwerach ALM. „Szkoda dla tych mężczyzn, oszukują śmieciarzy i nie zasługują na taką dyskrecję” – napisali hakerzy. „Szkoda dla ALM, obiecałeś tajemnicę, ale jej nie dotrzymałeś”. zignorował ostrzeżenia i pozostawił obie strony online po włamaniu, obiecując klientom, że zwiększył bezpieczeństwo swoich sieci.
Nie będzie to miało znaczenia dla klientów, których dane zostały już pobrane. Jakiekolwiek zwiększenie bezpieczeństwa byłoby dla nich za mało i za późno. Teraz mają do czynienia z największymi skutkami naruszenia: publicznym zażenowaniem, gniewem rozzłoszczonych partnerów, którzy mogli być ofiarami ich oszustwa, możliwym szantażem i potencjalnym oszustwem ze strony każdego, kto może teraz wykorzystać dane osobowe i informacje o kartach bankowych ujawnione w zrzucie danych .
„Avid Life Media nie zdołał pokonać Ashley Madison i Established Men” – napisał Impact Team w oświadczeniu towarzyszącym wtorkowemu zrzutowi internetowemu. „Wyjaśniliśmy oszustwa, oszustwa i głupotę ALM i ich członków. Teraz każdy może zobaczyć swoje dane … Pamiętaj, że strona jest oszustwem z tysiącami fałszywych profili kobiet. Zobacz pozew Ashley Madison o fałszywy profil; 90-95% rzeczywistych użytkowników to mężczyźni. Możliwe, że Twój mężczyzna zarejestrował się na największej na świecie stronie o romansach, ale nigdy jej nie miał. Po prostu próbował. Jeśli to rozróżnienie ma znaczenie. ”
Hakerzy zignorowali odpowiedzialność za jakiekolwiek szkody lub następstwa, jakie mogą ponieść ofiary włamania i zrzucenia danych.
„ Znalazłeś się tutaj? To ALM cię zawiodło i okłamało. Ścigaj ich i żądaj odszkodowania. Następnie kontynuuj swoje życie. Naucz się lekcji i zadośćuczynij. Zawstydzające, ale „przejdziesz przez to” – napisali.
To ważne należy pamiętać, że proces rejestracji Ashley Madison nie wymaga weryfikacji adresu e-mail w celu założenia konta, więc legalne adresy mogły zostać przejęte i wykorzystane przez niektórych członków witryny. Na przykład jeden e-mail ze zrzutu danych wydaje się należeć do byłego premiera Wielkiej Brytanii (Tony’ego Blaira).
Avid Life Media potępił ujawnienie danych.
„To wydarzenie nie jest aktem haktywizmu, jest aktem przestępczym. Jest to nielegalne działanie przeciwko poszczególnym członkom AshleyMadison.com, a także wszelkim wolnomyślicielskim osobom, które zdecydują się zaangażować w w pełni zgodne z prawem działania online ”- podała firma w komunikat. „Przestępcy lub przestępcy zaangażowani w ten czyn wyznaczyli siebie na sędziów moralnych, ławników przysięgłych i katów, uznając za stosowne narzucić całemu społeczeństwu osobiste pojęcie cnoty. Nie będziemy siedzieć bezczynnie i pozwalać tym złodziejom na siłę ich osobistą ideologię dotyczącą obywateli na całym świecie. ”
Ta historia była aktualizowana w miarę jej rozwoju.