يصبح السر صريحًا ، أو القصة الدرامية لملايين الزنا

في يوليو ، هاجمت مجموعة الهاكرز The Impact Team موقع Ashley Madison ، ونتيجة لذلك تم الحصول على قاعدة مستخدمي الموقع بالكامل تقريبًا من قبل الأخير. في البداية ، طالب المتسللون بإغلاق الموقع ، مما ابتز خطر نشر هذه البيانات . عندما لم تستسلم إدارة الموقع للابتزاز ، وصلت البيانات حقًا إلى الإنترنت ، حيث ، كما تعلم ، لا يمكنك قطعه بفأس. ولن تكون هذه القصة مثيرة للاهتمام إذا لم يكن موقع Ashley Madison مكانًا للتعارف متخصصًا في الزنا.

قصة

تأسس هذا الموقع الكندي في عام 2001 كمكان للتعارف وشبكة اجتماعية ، مع التركيز على العثور على عشاق وعشاق. شعار الموقع: "الحياة قصيرة - عمل علاقة غرامية". يتألف اسم الموقع من اسمين شائعين للأنثى . مورد مملوك لشركة Avid Life Media ، مملوك لرائد أعمال الإنترنت الكندي Noel Biderman .

أصبح الموقع شائعًا جدًا بشكل تدريجي - في عام 2015 ، وفقًا لإحصائيات من عداد مستقل ، يزوره أكثر من 124 مليون شخص شهريًا ، وفي قائمة مواقع البالغين ، صعد إلى المركز الثامن عشر (نعم ، شعرت بالارتياح حتى في ترتيب المواقع مثل pornhub و xvideos) . الآن في هذا الترتيب هو بالفعل في المركز 30 .

في المجموع ، بحلول صيف عام 2015 ، تم تسجيل حوالي 39 مليون مستخدم من 53 دولة على الموقع ، وكانت واجهة الموقع متاحة بـ 25 لغة (بما في ذلك الروسية). كان معظم المستخدمين من المقيمين في الولايات المتحدة وكندا. في كامل تاريخ تطوير الموقع ، حظرت سنغافورة واحدة فقط المشروع من دخول سوقها. ورفض مجلس تطوير وسائل الإعلام في سنغافورة المشروع باعتباره "يشجع على الخيانة الزوجية ويقلل القيم الأسرية".

لم يفرض الموقع دفعة شهرية - وبدلاً من ذلك ، تم استثماره عن طريق بيع "قروض" داخل النظام. هناك حاجة إلى الاعتمادات للدفع مقابل الحق في بدء محادثة مع "زوجين" محتملين ، وكانت المحادثات محدودة في الوقت المناسب. تم دفع الدفع فقط للرجال. إذا بدأت امرأة محادثة مع رجل ، كان بحاجة إلى إنفاق القروض للإجابة عليه. بالإضافة إلى ذلك ، فرضت الشركة أموالًا على حذف حسابات من النظام.

اقتحام

في 12 يوليو ، بينما ظل المتسللون مجهولين ، حصلوا على وصول غير مصرح به إلى قاعدة البيانات وتمكنوا من استخراج كل شيء تقريبًا من هناك - عناوين البريد الإلكتروني والأسماء وعناوين المنازل وأرقام الهواتف والتفضيلات الجنسية وبيانات الدفع (باستثناء أرقام بطاقات الائتمان) وتواريخ الميلاد والمعلمات المادية و أسئلة سرية. اكتشف بعض موظفي Avid Life هذا الأمر ، حيث قاموا بتشغيل أجهزة الكمبيوتر الخاصة بهم في الصباح وتلقي رسالة من المتسللين ، مصحوبة بأغنية AC / DC "Thunderstruck".



ابتزاز أصحاب الموقع والمطالبة بإغلاقه ، أطلق المخترقون بعض البيانات. لكن لم يكن من الممكن الاتفاق مع المالكين - وفي 20 أغسطس ، وضعت المفرقعات القاعدة في الوصول المفتوح. من السهل العثور عليها من خلال البحث عن اسم الموقع.

السرية والبيانات

من الجدير بالذكر أنه من بين البيانات المنشورة ، تم العثور على الحسابات التي تم اعتبارها "محذوفة" - علاوة على ذلك ، لحذف حساب ، تطلب النظام من المستخدم دفع مبلغ 19 دولارًا. حتى إذا قام أصدقاؤك بتسجيل حسابك على الموقع من أجل السخرية منك ، فلا يزال من الضروري الدفع لإزالة هذه الحسابات . ولكن ، من الواضح ، أن الحذف لم يكن إلا في وضع علامة خاصة على السجل في قاعدة البيانات ، حيث أن كل هذه المعلومات لا تزال متاحة للجمهور.

في 18 أغسطس ، احتفظ المتسللون بكلمتهم ونشروا تفريغًا للقاعدة ، والذي ظهر لأول مرة على خدمة Tor المخفية. تحتوي قاعدة حوالي 10 غيغابايت (في شكل مضغوط) على معلومات حول 32 مليون مستخدم ، بما في ذلك سجل الدفع ، والذي يمكن تتبعه حتى عام 2008. اكتشف الباحثون بالفعل أن حوالي 15000 عنوان بريد إلكتروني في قاعدة البيانات لها نطاقات .mil أو .gov. على ما يبدو ، تم تجزئة كلمات المرور الموجودة في قاعدة البيانات باستخدام bcrypt - ولكن وفقًا لخبراء الأمان ، هناك دائمًا احتمال تشقق كلمات المرور هذه ، ومن ثم يمكن سحب الحسابات التي لا تزال تعمل من تاريخ المراسلات بأكمله.



بتفتيش البيانات ، اكتشف مستخدمو موارد 4chan في كل مكانعلى وجه الخصوص ، العديد من السجلات المملوكة لأعضاء الحكومة البريطانية ووزارة الدفاع الأمريكية (للأسف ، تمت إزالة سلسلة المناقشة هذه من المورد).


بعد تحليل ما يقرب من 3 جيجا بايت (في شكل غير معبأ) من الملفات التي تخزن جميع المعاملات المالية ، قام مراسل Virge ببناء رسم بياني جميل يعرض النشاط المالي لمستخدمي الموقع.

بالإضافة إلى ذلك ، تم العثور على معلومات حول الشركة بين البيانات المسربة. هذا ، على وجه الخصوص ، حسابات paypal للمديرين ، بيانات للوصول إلى مجال الشبكة لموظفي Windows في الشركة وعدد كبير من المستندات من سير العمل الداخلي ( العقود والجداول والتقارير والعروض التقديمية والمراسلات ونتائج المبيعات ، إلخ.) تؤكد هذه الوثائق فقط صحة الحادث ، وتخفي الكثير من الأشياء المثيرة للاهتمام.

على سبيل المثال ، بعد البحث عنهم ، اكتشف مراسلو BuzzFeed بالفعل أن الإجراء الوحيد لحذف حساب مدفوع ، والذي لم يحذف البيانات من قاعدة البيانات ، جلب للشركة 1.7 مليون دولار في عام 2014 وحده .

بالإضافة إلى ذلك ، كسبت الشركة 2 مليون دولار من خلال فرض رسوم شهرية منفصلة لاستخدام الموقع من الأجهزة المحمولة ، و 600 ألف دولار لإتاحة الفرصة للمستخدمين المسافرين لتغيير موقعهم لبدء علاقة غرامية في المكان الذي يقيمون فيه حاليًا.

تبدو المعلومات المستمدة من المراسلات المسربة لإدارة الشركة مفارقة. تحدث كبير المهندسين ، رجا باتيا ، مع مالك الشركة ، Baderman ، حول إمكانية شراء nerve.com ، وهي مجلة عبر الإنترنت مخصصة للجنس والعلاقات والثقافة. حاول nerve.com استضافة خدمة مواعدة للبالغين مماثلة.

بعد أشهر قليلة من عرض شراء nerve.com ، أبلغ باتيا Baderman أنه وجد ثغرة في nerve.com ، حتى يتمكن من الوصول الكامل إلى قاعدة بيانات الموارد. من غير الواضح من المراسلات ما إذا كان مالكو Avid Life Media قد أبلغوا مالكي nerve.com عن هذه الثغرة نتيجة لذلك. ولكن يذكر أن بايدرمان كان سعيدًا بفرصة دمج قاعدة بيانات العملاء من منافس .

في المراسلات ، تمكنوا حتى من العثور على نص الفيلم ، الذي كتبه رجل الأعمال الكندي مع مؤلف آخر. تم العثور على ملف PDF لنص الفيلم بعنوان In Bed With Ashley Madison في رسالة بتاريخ يناير 2012.

النتائج

حاولت Avid Life Media بذل قصارى جهدها للتغلب على الفضيحة: على سبيل المثال ، أرسلت شكاوى على Twitter إلى منشورات تحتوي على معلومات من قاعدة بيانات مفقودة.

بطبيعة الحال ، لا يمكن إخفاء مثل هذا الخرامه في أي حقيبة ، وسوف تلاحقه عواقب ضعف الأشخاص المسجلين هناك لفترة طويلة جدًا. حتى إذا ، في الواقع ، بصرف النظر عن التسجيل في مورد ما ، لم يرتكب الشخص أي خطأ ، فكيف سيكون رد فعل أصحاب العمل عليه إذا وجدوا بياناته في قاعدة البيانات؟ خدمة أمن البنك؟ ما الذي سيفعله المسؤولون والمعلمون ومديرو الشركات الكبيرة عندما تحصل مشاركتهم في المورد على الدعاية؟ ناهيك عن حقيقة أن عدد حالات الطلاق هذا الخريف يجب أن يقفز بجدية. يخطط محامو الطلاق بالفعل لأرباحهم الفائقة.

يمكن أن تكون العواقب مختلفة للغاية. على سبيل المثال ، وفقًا لقواعد القانون الموحد للعدالة العسكرية في الولايات المتحدة الأمريكية (مدونة القوانين التي يتصرف بها الجيش) ، فإن الزنا يعادل الجرائم الخطيرة ، ويمكن استخدام مثل هذه الحالات لزيادة العقوبة ، مع إضافتها إلى الانتهاكات الأخرى .

يدعي أحد مستخدمي Reddit أنه مثلي الجنس ، ويعيش في المملكة العربية السعودية ، وهي دولة يعاقب فيها على المثلية الجنسية بالإعدام (ليس فقط بسيطًا ، ولكن رجمًا). يكتب أنه فيما يتعلق بهذا التسرب ، فقد خطط بالفعل لرحلته من البلاد .

من المحتمل أن تواجه Avid Life Media نفسها إفلاسًا - ليس بسبب الفضيحة التي أسقطت شعبية الموقع ، ولكن من سلسلة لا نهاية لها من الدعاوى القضائية التي من المحتمل أن تتبع الحادث. رفعت شركتان قانونيتان كنديتان بالفعل أكثر من نصف مليون دولار نيابة عن مستخدمي الموقع الكندي المتأثرين.

لقد رأى المحتالون الماكرون بالفعل فرصة لكسب أموال إضافية على ذلك بمساعدة الابتزاز - تحدث حالات الابتزاز واحدة تلو الأخرى. يهدد المبتزون بتعقب زوج (أو زوج) الشخص الذي توجد بياناته في قاعدة بيانات الموقع ، إذا لم يدفع الضحية لهم مقابل الصمت. يطالب المبتزون برسوم بالبيتكوين .

من الممكن أنه نتيجة لهذه الإجراءات ، أو تحت انطباع التسرب نفسه ، انتحر شخصان في تورونتو بالفعل ، محاولين تجنب العار في المستقبل ( لم يتم تأكيد هذه المعلومات بشكل قاطع بعد ).

بدأت الشرطة في البحث عن الأشخاص المتورطين في القرصنة وتسرب البيانات. لقد أصبح من المعروف بالفعل أن الشخص الذي قام بتحميل البيانات الأصلية على الشبكة للتوزيع عبر السيول قد أساء بعض الشيء مع الخادم الظاهري ، والذي تم رفعه خصيصًا لهذا - وربما ، سيكون من الممكن الوصول إليه من خلال هذا الخادم.

مالك المورد ، Avid Life Media ، من جانبه ، قد عرض بالفعل مكافأة نصف مليون دولار كندي لشخص سيساهم في القبض على المتسللين الغامضين.

وفي الوقت نفسه ، ظهرت بالفعل مواقع خاصة على الشبكة حيث يمكنك التحقق مما إذا كان بريدك الإلكتروني موجودًا في قاعدة بيانات الموارد.

قبل ستة أشهر من هذا الحدث ، تسربت قاعدة بيانات مورد جنسي آخر ، AdultFriendFinder ، إلى الشبكة. ثم على الإنترنت حصلت على بيانات من ما يقرب من 4 ملايين حساب.

Source: https://habr.com/ru/post/ar383389/