Hackare som stal känslig kundinformation från fuskwebbplatsen AshleyMadison.com verkar ha gjort gott om sitt hot att publicera informationen online.
En datadump, 9,7 gigabyte i storlek, publicerades på tisdag till det mörka nätet med en Onion-adress som endast var tillgänglig via Tor-webbläsaren. Filerna verkar innehålla kontouppgifter och inloggningar för cirka 32 miljoner användare av den sociala nätverkssajten, uppskattad som den främsta webbplatsen för gifta personer som söker partners för affärer. Sju års värde av kreditkort och andra betalningstransaktionsuppgifter är också en del av dumpningen. AshleyMadison.com hävdade att det hade nästan 40 miljoner användare vid intrånget för ungefär en månad sedan, alla uppenbarligen på marknaden för hemliga anslutningar.
”Ashley Madison är det mest kända namnet i otrohet och gift dejting”, hävdar webbplatsen på sin hemsida. ”Ha en affär idag på Ashley Madison. Tusentals otrogen fruar och otrogen män registrerar sig varje dag och letar efter en affär …. Med vårt affärsgarantipaket garanterar vi att du hittar den perfekta affärspartnern.”
The data som hackarna släpper in inkluderar namn, lösenord, adresser och telefonnummer som skickats av webbplatsens användare, även om det är oklart hur många medlemmar som har gett legitim information för att öppna konton. Ett urval av de läckta uppgifterna indikerar att användarna lämnade slumptal och adresser för att öppna konton. Men filer som innehåller kreditkortstransaktioner ger sannolikt riktiga namn och adresser, såvida inte medlemmar på webbplatsen använde anonyma förbetalda kort, som erbjuder mer anonymitet. Dessa uppgifter, som uppgår till miljoner betalningstransaktioner som går tillbaka till 2008, inkluderar namn, gatuadress, e-postadress och betalat belopp, men inte hela kreditkortsnumret; i stället innehåller det bara fyra siffror för varje transaktion, vilket faktiskt kan vara de sista fyra siffrorna i kreditkortsnummer eller helt enkelt ett transaktions-ID som är unikt för varje avgift.
En analys av e-postadresser som finns i datadumpen visar också att cirka 15 000 är .mil. eller .gov-adresser. Det är dock inte klart hur många av dessa som är legitima adresser.
Uppgifterna innehåller beskrivningar av vad medlemmarna sökte. ”Jag letar efter någon som inte är nöjd hemma eller bara uttråkad och letar efter lite spänning”, skrev en medlem som gav en adress i Ottawa och namn och telefonnummer till någon som arbetar för tull- och invandringsunionen i Kanada. ”Jag älskar det när jag ringde och sa att jag har 15 minuter på mig att komma till någonstans där jag” hälsas på dörren med en överraskning – kanske underkläder, nakenhet. Jag gillar att förtjäna och bli förtjusad … Jag gillar mycket förspel och uthållighet, roligt, diskretion, muntligt, till och med villighet att experimentera – * leende * ”
Lösenord som släpptes i datadumpen verkar ha varit hashed med bcrypt-algoritmen för PHP, men Robert Graham, VD för Erratasec, säger att trots att detta är ett av de säkraste sätten att lagra lösenord, ”kommer hackare fortfarande att kunna” knäcka ”många av dessa haschar för att upptäck kontoinnehavarens ursprungliga lösenord. Om kontona fortfarande är online betyder det att hackare kan fånga all privat korrespondens som är associerad med kontona.
Det är dock anmärkningsvärt att fuskwebbplatsen, genom att använda den säkra hashingalgoritmen, överträffade många andra offer för överträdelser som vi har sett under åren som aldrig brytt sig om att kryptera kundlösenord.
”Vi är så vana vid att se cleartext och MD5-hash”, säger Graham. ”Det är uppfriskande att se att bcrypt faktiskt används.”
Så här introducerade hackarna den nya datadumpen:
Efter intrånget förra månaden krävde hackarna, som kallade sig Impact Team, att Avid Life Media, ägare till AshleyMadison.com och dess följeslagare webbplats Etablerade män, ta ner de två sajterna. EstablishedMen.com lovar att ansluta vackra unga kvinnor med rika sockerpappor ”för att uppfylla deras livsstilsbehov.” Hackarna riktade sig inte mot CougarLife, en systersida som drivs av ALM som lovar att ansluta äldre kvinnor med yngre män.
”Avid Life Media har fått i uppdrag att ta Ashley Madison och etablerade män permanent offline i alla former, annars släpper vi alla kundregister, inklusive profiler med alla kundernas hemliga sexuella fantasier och matchande kreditkortstransaktioner, riktiga namn och adresser och medarbetardokument och e-post, ”hackarna skrev i ett uttalande efter överträdelsen.
Relaterade länkar
För att visa de menade affärer, publicerade de exempel på filer som innehöll en del av de stulna uppgifterna, som innehöll företags finansiell information som beskriver anställdas löner och dokument som kartlägger företagets interna nätverk. moral som de kondonerade och uppmuntrade, men de tog också hänsyn till vad de ansåg ALM: s bedrägliga affärsmetoder. Trots att de lovade kunder att ta bort användardata från webbplatsen mot en avgift på 19 USD, behöll företaget faktiskt uppgifterna på ALMs servrar, hävdade hackarna. ”Synd för dessa män, de fuskar smutsar och förtjänar inget sådant utrymme”, skrev hackarna. ”Synd för ALM, du lovade sekretess men levererade inte.”
Avid Life Media trotsigt ignorerade varningarna och höll båda sidorna online efter intrånget och lovade kunderna att det hade ökat säkerheten i sina nätverk.
Det spelar ingen roll för de kunder vars data redan hade tagits. Varje ökad säkerhet skulle vara för lite för sent för dem. Nu står de inför det största nedfallet från intrånget: allmän förlägenhet, ilska från arga partner som kan ha varit offer för fusk, eventuell utpressning och potentiellt bedrägeri från alla som nu kan använda den personliga informationen och bankkortinformationen som exponeras i datadumpen .
”Avid Life Media har misslyckats med att ta ner Ashley Madison och Established Men,” skrev Impact Team i ett uttalande som åtföljer online-dumpningen tisdag. ”Vi har förklarat bedrägeri, bedrägeri och dumhet hos ALM och deras medlemmar. Nu får alla se deras data …. Tänk på att webbplatsen är en bluff med tusentals falska kvinnliga profiler. Se Ashley Madison falska profil stämning; 90-95% av de faktiska användarna är män. Chansen är att din man registrerade sig på världens största affärssida, men aldrig haft en. Han försökte bara. Om skillnaden är viktig. ”
Hackarna avvisade ansvaret för eventuella skador eller konsekvenser som offer för överträdelsen och datadumpen kan drabbas av.
” Hitta dig här inne? Det var ALM som misslyckades med dig och ljög för dig. Åtal och anspråk på skadestånd. Fortsätt sedan med ditt liv. Lär dig din lektion och förbättra. Pinsamt nu, men du kommer att komma över det, skrev de.
Det är viktigt att notera att Ashley Madisons registreringsprocess inte kräver verifiering av en e-postadress för att skapa ett konto, så legitima adresser kan ha kapats och använts av vissa medlemmar på webbplatsen. Ett e-postmeddelande i datadumpen verkar till exempel tillhöra den tidigare brittiska premiärministern (Tony Blair).
Avid Life Media fördömde att informationen släpptes.
”Denna händelse är inte en handling av hacktivism, det är en handling av brottslighet. Det är en olaglig handling mot de enskilda medlemmarna av AshleyMadison.com, liksom alla frittänkande människor som väljer att delta i helt lagliga onlineaktiviteter, ”sa företaget i en påstående. ”De brottslingar, eller brottslingar, som är inblandade i denna handling har utsett sig själva till moralisk domare, jurymedlem och bödel, och ser det lämpligt att införa en personlig uppfattning om dygd på hela samhället. Vi kommer inte sitta ledigt och låta dessa tjuvar tvinga deras personliga ideologi om medborgare runt om i världen. ”
Denna berättelse uppdaterades när den utvecklades.