Le secret devient explicite, ou l'histoire dramatique de millions d'adultères

En juillet, le site d'Ashley Madison a été attaqué par le groupe de hackers The Impact Team, ce qui a permis à ce dernier de récupérer la quasi-totalité de la base d'utilisateurs du site. Dans un premier temps, des pirates ont exigé la fermeture du site, faisant chanter la menace de la publication de ces données . Lorsque l'administration du site n'a pas succombé au chantage, les données ont vraiment frappé Internet, d'où, comme vous le savez, vous ne pouvez pas les couper avec une hache. Et cette histoire ne serait pas aussi intéressante si le site d'Ashley Madison n'était pas un lieu de rencontre spécialisé dans l'adultère.

Récit

Ce site canadien a été fondé en 2001 en tant que lieu de rencontre et réseau social, avec pour objectif de trouver des amoureux et des amoureux. La devise du site: "La vie est courte - faites une affaire." Le nom du site était composé de deux prénoms féminins populaires . Ressource détenue par Avid Life Media, détenue par l'entrepreneur Internet canadien Noel Biderman .

Le site est progressivement devenu très populaire - en 2015, selon les statistiques d'un compteur indépendant, plus de 124 millions de personnes l'ont visité chaque mois, et dans la liste des sites pour adultes, il est remonté à la 18e place (oui, cela faisait du bien même dans le classement de sites comme pornhub et xvideos) . Maintenant, dans ce classement, il est déjà à la 30e place .

Au total, à l'été 2015, environ 39 millions d'utilisateurs de 53 pays étaient enregistrés sur le site, et l'interface du site était disponible en 25 langues (dont le russe). La plupart des utilisateurs étaient des résidents des États-Unis et du Canada. Dans toute l'histoire du développement du site, un seul Singapour a interdit l'entrée du projet sur son marché. Le Conseil de développement des médias de Singapour a rejeté le projet comme «favorisant la trahison conjugale et diminuant les valeurs familiales».

Le site n'a pas facturé de paiement mensuel - il a plutôt monétisé en vendant des «prêts» intra-système. Les crédits nécessaires pour payer le droit d'entamer une conversation avec un «couple» potentiel, et les conversations étaient limitées dans le temps. Le paiement n'était facturé qu'aux hommes. Si une femme entame une conversation avec un homme, il doit dépenser des prêts pour lui répondre. En outre, la société a facturé de l'argent pour la suppression de comptes du système.

Entrer dans

Le 12 juillet, alors que les pirates restaient inconnus, ils ont obtenu un accès non autorisé à la base de données et ont pu en extraire presque tout - adresses e-mail, noms, adresses personnelles et numéros de téléphone, préférences sexuelles et données de paiement (à l'exception des numéros de carte de crédit), dates de naissance, paramètres physiques et questions secrètes. Certains employés d'Avid Life l'ont découvert, allumant leur ordinateur le matin et recevant un message de pirates, accompagné de la chanson AC / DC «Thunderstruck».



Faire du chantage aux propriétaires du site et exiger sa fermeture, les pirates ont divulgué certaines des données. Mais il n'a pas été possible de s'entendre avec les propriétaires - et le 20 août, des crackers ont aménagé la base en libre accès. Il est facile à trouver en recherchant le nom du site.

Confidentialité et données

Il est à noter que parmi les données publiées, les comptes qui étaient considérés comme «supprimés» ont été trouvés - de plus, pour supprimer un compte, le système obligeait un utilisateur à payer un montant de 19 $. Même si vos amis ont enregistré votre compte sur le site afin de se moquer de vous, il fallait tout de même payer la suppression de ces comptes . Mais, de toute évidence, la suppression n'a consisté qu'en un marquage spécial de l'enregistrement dans la base de données, car toutes ces informations sont toujours devenues accessibles au public.

Le 18 août, des hackers ont tenu parole et publié une décharge de la base, qui est apparue pour la première fois sur le service Tor caché. La base d'environ 10 Go (sous forme compressée) contient des informations sur 32 millions d'utilisateurs, y compris l'historique des paiements, qui peuvent être suivis jusqu'en 2008. Les chercheurs ont déjà découvert qu'environ 15 000 adresses e-mail dans la base de données ont des domaines .mil ou .gov. Apparemment, les mots de passe contenus dans la base de données ont été hachés à l'aide de bcrypt - mais selon les experts en sécurité , il est toujours possible que ces mots de passe soient piratés, puis les comptes qui fonctionnent encore peuvent être extraits de l'historique complet de la correspondance.



Fouillant dans les données, les utilisateurs des ressources omniprésentes de 4chan ont été mis au jouren particulier, plusieurs documents appartenant à des membres du gouvernement britannique et du département américain de la Défense (malheureusement, ce fil de discussion a été supprimé de la ressource).


Après avoir analysé près de 3 Go (sous forme décompressée) de fichiers qui stockent toutes les transactions financières, le correspondant Virge a construit un beau graphique qui montre l'activité financière des utilisateurs du site.

De plus, des informations sur l'entreprise ont également été trouvées parmi les données divulguées. Il s'agit notamment des comptes paypal des administrateurs, des données d'accès au domaine réseau des employés Windows de l'entreprise et d'un grand nombre de documents issus du workflow interne ( contrats, plannings, rapports, présentations, correspondance, résultats de vente, etc.) Ces documents ne font que confirmer l'authenticité de l'incident et cachent beaucoup de choses intéressantes.

Par exemple, après avoir fouillé à travers eux, les journalistes de BuzzFeed ont déjà découvert que la seule procédure de suppression d'un compte payant, qui n'a pas réellement supprimé les données de la base de données, a rapporté à la société 1,7 million de dollars rien qu'en 2014 .

En outre, la société a gagné 2 millions de dollars en facturant des frais mensuels distincts pour l'utilisation du site à partir d'appareils mobiles et 600000 dollars pour la possibilité pour les utilisateurs itinérants de modifier leur emplacement afin de démarrer une affaire à l'endroit où ils se trouvaient actuellement.

Les informations tirées de la fuite de la correspondance de la direction de l'entreprise semblent ironiquement. L'ingénieur en chef, Raja Batia, s'est entretenu avec le propriétaire de la société, Baderman, au sujet de l'achat éventuel de nerve.com, un magazine en ligne dédié au sexe, aux relations et à la culture. nerve.com a tenté d'héberger un service de rencontres pour adultes similaire.

Quelques mois après l'offre d'achat de nerve.com, Batia a informé Baderman qu'il avait trouvé une vulnérabilité dans nerve.com, afin qu'il ait un accès complet à la base de données de ressources. Il ne ressort pas clairement de la correspondance si, en conséquence, les propriétaires d'Avid Life Media ont signalé aux propriétaires de nerve.com cette vulnérabilité. Mais il est mentionné que Biderman était ravi de l'opportunité de fusionner une base de données clients d'un concurrent .

Dans la correspondance, ils ont même réussi à trouver le scénario du film, que l'entrepreneur canadien a écrit avec un autre auteur. Un PDF du scénario du film , intitulé In Bed With Ashley Madison, a été trouvé dans une lettre datée de janvier 2012.

résultats

Avid Life Media a fait de son mieux pour étouffer le scandale: par exemple, il a envoyé des plaintes sur Twitter à des publications contenant des informations provenant d'une base de données perdue.

Naturellement, un tel poinçon ne peut être caché dans aucun sac, et les conséquences des faiblesses des personnes qui y sont inscrites les hanteront très longtemps. Même si, en fait, à part s’inscrire sur une ressource, une personne n’a rien fait de mal, comment les employeurs réagiront-ils s’ils trouvent ses données dans la base de données? Service de sécurité bancaire? Que feront les fonctionnaires, les enseignants et les directeurs de grandes entreprises lorsque leur participation à la ressource sera publicisée? Sans parler du fait que le nombre de divorces cet automne devra sérieusement bondir. Les avocats du divorce planifient déjà leurs superprofits.

Les conséquences peuvent être très différentes. Par exemple, selon les règles du Code uniforme de justice militaire aux États-Unis (le code de lois par lequel les actes militaires), l'adultère est assimilé à des crimes graves, et de tels cas peuvent être utilisés pour augmenter la peine, s'ajoutant à d'autres violations .

Un utilisateur de Reddit prétend être homosexuel, vivant en Arabie saoudite, un pays où l'homosexualité est passible de la peine de mort (pas seulement simple, mais lapidation). Il écrit que dans le cadre de cette fuite, il a déjà planifié son vol depuis le pays .

Avid Life Media lui-même, très probablement, fait face à la faillite - non pas tant du scandale qui a fait chuter la popularité du site, mais de la série interminable de poursuites qui devraient suivre l'incident. Deux cabinets d'avocats canadiens ont déjà poursuivi plus d'un demi-million de dollars au nom des utilisateurs de sites canadiens concernés.

Des escrocs rusés ont déjà vu l'opportunité de gagner de l'argent supplémentaire à ce sujet à l'aide du chantage - des cas d'extorsion surviennent les uns après les autres. Les maîtres-chanteurs menacent de retrouver le conjoint (ou le conjoint) d'une personne dont les données sont dans la base de données du site, si la victime ne les paie pas pour le silence. Les maîtres chanteurs exigent des frais en bitcoins .

Il est possible qu'en raison de telles actions, ou sous l'impression de la fuite elle-même, deux personnes à Toronto se soient déjà suicidées, essayant d'éviter la honte future ( cette information n'a pas encore été confirmée de manière concluante ).

La police a commencé à rechercher des personnes impliquées dans le piratage et la fuite de données. Il est déjà connu que la personne qui a téléchargé les données originales sur le réseau pour les distribuer via des torrents a fait un petit problème avec le serveur virtuel , qui a été spécialement conçu pour cela - et, peut-être, il sera possible d'y accéder via ce serveur.

Le propriétaire de la ressource, Avid Life Media, pour sa part, a déjà offert une récompense d'un demi-million de dollars canadiens à quelqu'un qui contribuera à la capture de mystérieux hackers.

Pendant ce temps, des sites spéciaux sont déjà apparus sur le réseau où vous pouvez vérifier si votre e-mail est présent dans la base de données des ressources.

Six mois avant cet événement, la base de données d' une autre ressource sexuelle, AdultFriendFinder, a fuité sur le réseau. Ensuite, sur Internet, nous avons obtenu des données de près de 4 millions de comptes.

Source: https://habr.com/ru/post/fr383389/