Hackers que roubaram informações confidenciais de clientes do site de trapaça AshleyMadison.com parecem ter superado a ameaça de postar os dados online.
Um dump de dados de 9,7 gigabytes foi postado na dark web usando um endereço Onion acessível apenas através do navegador Tor. Os arquivos parecem incluir detalhes de contas e logins de cerca de 32 milhões de usuários do site de rede social, considerado o principal site para indivíduos casados em busca de parceiros para um caso. Sete anos de cartão de crédito e outros detalhes de transações de pagamento também fazem parte do despejo. AshleyMadison.com afirmou ter quase 40 milhões de usuários no momento da violação, cerca de um mês atrás, todos aparentemente no mercado de conexões clandestinas.
“Ashley Madison é o nome mais famoso em infidelidade e namoro casado”, afirma o site em sua página inicial. “Tenha um caso hoje em Ashley Madison. Milhares de esposas traidoras e maridos traidores se inscrevem todos os dias à procura de um caso … Com nosso pacote de garantia de caso, garantimos que você encontrará o parceiro de caso perfeito.”
O os dados divulgados pelos hackers incluem nomes, senhas, endereços e números de telefone enviados pelos usuários do site, embora não esteja claro quantos membros forneceram detalhes legítimos para abrir contas. Uma amostra dos dados vazados indica que os usuários forneceram números e endereços aleatórios para abrir contas. Mas os arquivos que contêm transações de cartão de crédito provavelmente fornecem nomes e endereços reais, a menos que os membros do site usem cartões pré-pagos anônimos, que oferecem mais anonimato. Esses dados, que equivalem a milhões de transações de pagamento desde 2008, incluem nomes, endereço, endereço de e-mail e valor pago, mas não os números completos do cartão de crédito; em vez disso, inclui apenas quatro dígitos para cada transação, que podem na verdade ser os últimos quatro dígitos do números de cartão de crédito ou simplesmente uma ID de transação exclusiva para cada cobrança.
Uma análise de endereços de e-mail encontrados no despejo de dados também mostra que cerca de 15.000 são .mil. ou endereços .gov. Não está claro, entretanto, quantos desses são endereços legítimos.
Os dados também inclui descrições do que os membros estavam procurando. “Estou procurando alguém que não está feliz em casa ou apenas entediado e procurando alguma emoção”, escreveu um membro que forneceu um endereço em Ottawa e o nome e telefone de alguém que trabalha para a União Alfandegária e de Imigração do Canadá. “Adoro quando recebo uma ligação e me dizem que tenho 15 minutos para chegar a algum lugar onde serei recebido na porta com uma surpresa – talvez lingerie, nudez. Gosto de violentar e ser arrebatado … Gosto de muitas preliminares e vigor, diversão, discrição, oral, até mesmo vontade de experimentar— * sorria * “
As senhas divulgadas no depósito de dados parecem ter sido hash usando o algoritmo bcrypt para PHP, mas Robert Graham, CEO da Erratasec, diz que, apesar de ser uma das maneiras mais seguras de armazenar senhas, “os hackers ainda são capazes de” quebrar “muitos desses hashes para descobrir a senha original do titular da conta. Se as contas ainda estiverem online, isso significa que os hackers serão capazes de obter qualquer correspondência privada associada às contas.
É notável, no entanto, que o site trapaceiro, ao usar o algoritmo de hash seguro, superou muitas outras vítimas de violações que “vimos ao longo dos anos, que nunca se preocuparam em criptografar as senhas dos clientes.
“Estamos tão acostumados a ver texto não criptografado e hashes MD5”, diz Graham. “É revigorante ver o bcrypt realmente sendo usado.”
Veja como os hackers introduziram o novo despejo de dados:
Após a intrusão no mês passado, os hackers, que se autodenominavam Impact Team, exigiram que a Avid Life Media, dona do AshleyMadison.com e seu parceiro site Established Men, tire os dois sites do ar. EstablishedMen.com promete conectar mulheres bonitas com pais ricos “para atender às necessidades de seu estilo de vida”. Os hackers não visaram o CougarLife, um site irmão administrado pela ALM que promete conectar os mais velhos mulheres com homens mais jovens.
“Avid Life Media foi instruída a colocar Ashley Madison e Homens Estabelecidos offline permanentemente em todas as formas, ou liberaremos todos os registros de clientes, incluindo perfis com todas as fantasias sexuais secretas dos clientes e transações de cartão de crédito, nomes e endereços reais e documentos e e-mails de funcionários “, os hackers escreveu em uma declaração após a violação.
Links relacionados
Para mostrar a eles significava negócios, eles postaram arquivos de amostra contendo alguns dos dados roubados, que incluíam informações financeiras da empresa detalhando os salários dos funcionários e documentos que mapeavam a rede interna da empresa.
Os hackers pareciam ter como alvo AshleyMadison e EstablishedMen sobre o questionável eles toleravam e encorajavam a moral, mas também questionavam o que consideravam práticas comerciais fraudulentas da ALM. Apesar de prometer aos clientes excluir seus dados de usuário do site por uma taxa de US $ 19, a empresa na verdade reteve os dados nos servidores da ALM, afirmaram os hackers. “Uma pena para aqueles homens, eles estão trapaceando e não merecem tal discrição”, escreveram os hackers. “Uma pena para ALM, você prometeu segredo, mas não cumpriu.”
Avid Life Media desafiadoramente ignorou os avisos e manteve os dois sites online após a violação, prometendo aos clientes que havia aumentado a segurança de suas redes.
Isso não importaria para os clientes cujos dados já haviam sido obtidos. Qualquer aumento de segurança seria um pouco tarde demais para eles. Agora eles enfrentam as maiores consequências da violação: constrangimento público, a ira de parceiros furiosos que podem ter sido vítimas de sua traição, possível chantagem e possível fraude de qualquer um que agora pode usar os dados pessoais e informações de cartão bancário expostos no depósito de dados .
“A Avid Life Media não conseguiu derrubar Ashley Madison e Established Men”, escreveu o Impact Team em um comunicado que acompanhou o despejo online na terça-feira. “Explicamos a fraude, o engano e a estupidez do ALM e de seus membros. Agora todos podem ver seus dados … Lembre-se de que o site é uma farsa com milhares de perfis femininos falsos. Ver processo de perfis falsos ashley madison; 90-95% dos usuários reais são do sexo masculino. Provavelmente, o seu homem se inscreveu no maior site de casos amorosos do mundo, mas nunca teve um. Ele apenas tentou. Se essa distinção for importante. “
Os hackers desviaram a responsabilidade por quaisquer danos ou repercussões que as vítimas da violação e despejo de dados possam sofrer.
” Você se encontrou aqui? Foi o ALM que falhou e mentiu para você. Processem-nos e reivindiquem danos. Então siga em frente com sua vida. Aprenda sua lição e faça as pazes. Constrangedor agora, mas você “vai superar”, escreveram eles.
É importante Observe que o processo de inscrição de Ashley Madison não exige a verificação de um endereço de e-mail para configurar uma conta, portanto, endereços legítimos podem ter sido sequestrados e usados por alguns membros do site. Um e-mail no despejo de dados, por exemplo, parece pertencer ao ex-primeiro-ministro do Reino Unido (Tony Blair).
A Avid Life Media condenou a divulgação dos dados.
“Este evento não é um ato de hacktivismo, é um ato de criminalidade. É uma ação ilegal contra os membros individuais do AshleyMadison.com, bem como contra qualquer pessoa livre-pensadora que opte por se envolver em atividades online totalmente legais “, disse a empresa em um demonstração. “O criminoso ou criminosos envolvidos neste ato se autoproclamam juiz moral, jurado e carrasco, por acharem por bem impor uma noção pessoal de virtude a toda a sociedade. Não ficaremos de braços cruzados e permitir que esses ladrões forcem sua ideologia pessoal sobre os cidadãos em todo o mundo. “
Esta história foi atualizada à medida que se desenvolveu.