El secreto se vuelve explícito, o la dramática historia de millones de adulterios

En julio, el sitio de Ashley Madison fue atacado por el grupo de hackers The Impact Team, como resultado de lo cual este último obtuvo casi toda la base de usuarios del sitio. Al principio, los piratas informáticos exigieron cerrar el sitio, chantajeando la amenaza de la publicación de estos datos . Cuando la administración del sitio no sucumbió al chantaje, los datos realmente llegaron a Internet, desde donde, como saben, no se puede cortar con un hacha. Y esta historia no sería tan interesante si el sitio de Ashley Madison no fuera un lugar de citas especializado en adulterio.

Historia

Este sitio canadiense fue fundado en 2001 como un lugar de citas y una red social, con un enfoque en encontrar amantes y amantes. El lema del sitio: "La vida es corta: haz una aventura". El nombre del sitio estaba compuesto por dos nombres femeninos populares . Recurso propiedad de Avid Life Media, propiedad del empresario canadiense de Internet Noel Biderman .

El sitio gradualmente se hizo muy popular: en 2015, según las estadísticas de un contador independiente, más de 124 millones de personas lo visitaban mensualmente, y en la lista de sitios para adultos subió al puesto 18 (sí, se sintió bien incluso en el ranking de sitios como pornhub y xvideos) . Ahora en este ranking ya está en el puesto 30 .

En total, para el verano de 2015, aproximadamente 39 millones de usuarios de 53 países estaban registrados en el sitio, y la interfaz del sitio estaba disponible en 25 idiomas (incluido el ruso). La mayoría de los usuarios eran residentes de los Estados Unidos y Canadá. En toda la historia del desarrollo del sitio, solo un Singapur ha prohibido que el proyecto ingrese a su mercado. La Junta de Desarrollo de Medios de Singapur rechazó el proyecto como "promover la traición conyugal y disminuir los valores familiares".

El sitio no cobraba un pago mensual; en cambio, se monetizaba vendiendo "préstamos" dentro del sistema. Los créditos debían pagar por el derecho a iniciar una conversación con una posible "pareja", y las conversaciones eran limitadas en el tiempo. El pago fue cobrado solo a los hombres. Si una mujer iniciaba una conversación con un hombre, él necesitaba gastar préstamos para responderle. Además, la compañía cobraba dinero por eliminar cuentas del sistema.

Irrumpir en

El 12 de julio, mientras los piratas informáticos permanecían desconocidos, obtuvieron acceso no autorizado a la base de datos y pudieron extraer casi todo de allí: direcciones de correo electrónico, nombres, domicilios y números de teléfono, preferencias sexuales y datos de pago (excepto los números de tarjetas de crédito), fechas de nacimiento, parámetros físicos y preguntas secretas. Algunos empleados de Avid Life se enteraron de esto, encendieron sus computadoras por la mañana y recibieron un mensaje de piratas informáticos, acompañados por la canción de AC / DC "Thunderstruck".



Chantajeando a los propietarios del sitio y exigiendo su cierre, los hackers liberaron algunos de los datos. Pero no fue posible estar de acuerdo con los propietarios, y el 20 de agosto, los crackers colocaron la base en acceso abierto. Es fácil de encontrar buscando el nombre del sitio.

Confidencialidad y datos

Es de destacar que entre los datos publicados, se encontraron aquellas cuentas que se consideraban "eliminadas"; además, para eliminar una cuenta, el sistema requería que un usuario pagara un monto de $ 19. Incluso si sus amigos registraron su cuenta en el sitio para burlarse de usted, todavía era necesario pagar por la eliminación de dichas cuentas . Pero, obviamente, la eliminación consistió solo en una marca especial del registro en la base de datos, ya que toda esta información aún estaba disponible para el público.

El 18 de agosto, los piratas informáticos cumplieron su palabra y publicaron un volcado de la base, que apareció por primera vez en el servicio oculto de Tor. La base de aproximadamente 10 GB (en forma comprimida) contiene información sobre 32 millones de usuarios, incluido el historial de pagos, que puede rastrearse hasta 2008. Los investigadores ya han descubierto que alrededor de 15,000 direcciones de correo electrónico en la base de datos tienen dominios .mil o .gov. Aparentemente, las contraseñas contenidas en la base de datos se cifraron con bcrypt, pero según los expertos en seguridad , siempre existe la posibilidad de que estas contraseñas se descifren, y luego las cuentas que aún funcionan pueden extraerse de todo el historial de correspondencia.



Hurgando en los datos, los ubicuos usuarios de recursos de 4chan descubrieronen particular, varios registros propiedad de miembros del gobierno británico y del Departamento de Defensa de los Estados Unidos (desafortunadamente, este hilo de discusión se ha eliminado del recurso).


Después de analizar casi 3 GB (en forma desempaquetada) de archivos que almacenan todas las transacciones financieras, el corresponsal de The Virge creó un hermoso gráfico que muestra la actividad financiera de los usuarios del sitio.

Además, también se encontró información sobre la compañía entre los datos filtrados. Esto, en particular, cuentas de directores de PayPal, datos para acceder al dominio de red de los empleados de Windows de la compañía y una gran cantidad de documentos del flujo de trabajo interno ( contratos, horarios, informes, presentaciones, correspondencia, resultados de ventas, etc.) Estos documentos solo confirman la autenticidad del incidente y ocultan muchas cosas interesantes.

Por ejemplo, tras rebuscar en ellos, los reporteros de BuzzFeed ya descubrieron que el único procedimiento para la eliminación de la cuenta paga, que en realidad no eliminó los datos de la base de datos, le dio a la compañía $ 1.7 millones solo en 2014 .

Además, la compañía ganó $ 2 millones al cobrar una tarifa mensual separada por usar el sitio desde dispositivos móviles, y $ 600 mil por la oportunidad para que los usuarios que viajan cambien su ubicación para comenzar una aventura en el lugar donde se encuentran actualmente.

La información extraída de la correspondencia filtrada de la gerencia de la compañía parece irónicamente. El ingeniero jefe, Raja Batia, habló con el propietario de la compañía, Baderman, sobre la posible compra de nerve.com, una revista en línea dedicada al sexo, las relaciones y la cultura. nerve.com trató de alojar un servicio de citas para adultos similar.

Pocos meses después de la oferta de comprar nervios.com, Batia informó a Baderman que había encontrado una vulnerabilidad en nervios.com, de modo que tenía acceso completo a la base de datos de recursos. No queda claro en la correspondencia si, como resultado, los propietarios de Avid Life Media informaron a los propietarios de nerv.com acerca de esta vulnerabilidad. Pero se menciona que Biderman estaba encantado con la oportunidad de fusionar una base de datos de clientes de un competidor .

En la correspondencia, incluso lograron encontrar el guión de la película, que el empresario canadiense escribió junto con otro autor. Se encontró un PDF del guión de la película , titulado In Bed With Ashley Madison, en una carta fechada en enero de 2012.

resultados

Avid Life Media hizo todo lo posible para silenciar el escándalo: por ejemplo, envió quejas en Twitter a publicaciones que contenían información de una base de datos perdida.

Naturalmente, tal punzón no puede ocultarse en ninguna bolsa, y las consecuencias de las debilidades de las personas registradas allí los perseguirán durante mucho tiempo. Incluso si, de hecho, aparte de registrarse en un recurso, una persona no ha hecho nada malo, ¿cómo reaccionarán los empleadores ante él si encuentran sus datos en la base de datos? Servicio de seguridad bancaria? ¿Qué harán los funcionarios, maestros, directores de grandes empresas cuando su participación en el recurso sea publicitada? Sin mencionar el hecho de que el número de divorcios este otoño tendrá que aumentar seriamente. Los abogados de divorcio ya están planeando sus superganancias.

Las consecuencias pueden ser muy diferentes. Por ejemplo, de acuerdo con las reglas del Código Uniforme de Justicia Militar en los EE. UU. (El código de leyes por el cual los actos militares), el adulterio se equipara a delitos graves, y tales casos pueden usarse para aumentar el castigo, añadiéndose a otras violaciones .

Un usuario de Reddit afirma ser gay y vive en Arabia Saudita, un país donde la homosexualidad se castiga con la muerte (no solo simple, sino lapidación). Él escribe que en relación con esta filtración ya ha planeado su vuelo desde el país .

Es probable que Avid Life Media se vea en bancarrota, no tanto por el escándalo que redujo la popularidad del sitio, sino por la serie interminable de demandas que probablemente seguirán al incidente. Dos bufetes de abogados canadienses ya han demandado más de medio millón de dólares en nombre de los usuarios afectados del sitio canadiense.

Los ladrones astutos ya han visto la oportunidad de ganar dinero extra con la ayuda del chantaje: los casos de extorsión ocurren uno tras otro. Los chantajistas amenazan con rastrear al cónyuge (o cónyuge) de una persona cuyos datos están en la base de datos del sitio, si la víctima no les paga por el silencio. Los chantajistas exigen una tarifa en bitcoins .

Es posible que como resultado de tales acciones, o bajo la impresión de la filtración en sí, dos personas en Toronto ya se hayan suicidado, tratando de evitar la vergüenza futura ( esta información aún no se ha confirmado de manera concluyente ).

La policía comenzó a buscar personas involucradas en piratería y fuga de datos. Ya se sabe que la persona que cargó los datos originales en la red para su distribución a través de torrents hizo un pequeño lío con el servidor virtual , que se planteó específicamente para esto, y, posiblemente, será posible acceder a él a través de este servidor.

El propietario del recurso, Avid Life Media, por su parte, ya ha ofrecido una recompensa de medio millón de dólares canadienses a alguien que contribuirá a la captura de hackers misteriosos.

Mientras tanto, ya han aparecido sitios especiales en la red donde puede verificar si su correo electrónico está presente en la base de datos de recursos.

Seis meses antes de este evento, la base de datos de otro recurso sexual, AdultFriendFinder, se filtró a la red. Luego, en Internet obtuve datos de casi 4 millones de cuentas.

Source: https://habr.com/ru/post/es383389/