O segredo se torna explícito, ou a história dramática de milhões de adultério

Em julho, o site da Ashley Madison foi atacado pelo grupo de hackers The Impact Team, como resultado da qual quase toda a base de usuários do site foi obtida por este último. A princípio, os hackers exigiram fechar o site, chantageando a ameaça da publicação desses dados . Quando a administração do site não sucumbiu à chantagem, os dados realmente chegaram à Internet, de onde, como você sabe, não é possível reduzi-los com um machado. E essa história não seria tão interessante se o site da Ashley Madison não fosse um local de namoro especializado em adultério.

História

Este site canadense foi fundado em 2001 como um local de encontros e uma rede social, com foco em encontrar amantes e amantes. O lema do site: "A vida é curta - faça um caso". O nome do site era composto por dois nomes femininos populares . Recurso de propriedade da Avid Life Media, do empresário canadense de Internet Noel Biderman .

O site tornou-se gradualmente muito popular - em 2015, de acordo com estatísticas de um contador independente, mais de 124 milhões de pessoas o visitavam mensalmente, e na lista de sites adultos subia para o 18º lugar (sim, era bom mesmo no ranking de sites como pornhub e xvideos) . Agora neste ranking ele já está na 30ª colocação .

No total, no verão de 2015, cerca de 39 milhões de usuários de 53 países estavam registrados no site, e a interface do site estava disponível em 25 idiomas (incluindo russo). A maioria dos usuários era residente nos Estados Unidos e no Canadá. Em toda a história do desenvolvimento do site, apenas uma Cingapura proibiu o projeto de entrar no mercado. O Conselho de Desenvolvimento de Mídia de Cingapura rejeitou o projeto como "promovendo a traição conjugal e diminuindo os valores familiares".

O site não cobrava um pagamento mensal - em vez disso, monetizava vendendo “empréstimos” intra-sistema. Os créditos necessários para pagar o direito de iniciar uma conversa com um potencial "casal", e as conversas eram limitadas no tempo. O pagamento foi cobrado apenas aos homens. Se uma mulher iniciou uma conversa com um homem, ele precisava gastar empréstimos para responder. Além disso, a empresa cobrava dinheiro pela exclusão de contas do sistema.

Invadir

Em 12 de julho, embora os hackers continuassem desconhecidos, eles obtiveram acesso não autorizado ao banco de dados e conseguiram extrair quase tudo dele - endereços de email, nomes, endereços residenciais e números de telefone, preferências sexuais e dados de pagamento (exceto números de cartão de crédito), datas de nascimento, parâmetros físicos e perguntas secretas. Alguns funcionários da Avid Life descobriram isso, ligando seus computadores pela manhã e recebendo uma mensagem de hackers, acompanhados pela música do AC / DC "Thunderstruck".



Chantageando os proprietários do site e exigindo seu fechamento, os hackers divulgaram alguns dos dados. Mas não foi possível concordar com os proprietários - e em 20 de agosto, os crackers expuseram a base em acesso aberto. É fácil encontrar pesquisando o nome do site.

Confidencialidade e Dados

Vale ressaltar que entre os dados publicados foram encontradas as contas que foram consideradas "excluídas" - além disso, para excluir uma conta, o sistema exigia que o usuário pagasse uma quantia de US $ 19. Mesmo que seus amigos tenham registrado sua conta no site para tirar sarro de você, ainda era necessário pagar pela remoção dessas contas . Mas, obviamente, a exclusão consistiu apenas em uma marcação especial do registro no banco de dados, já que todas essas informações ainda estavam disponíveis ao público.

Em 18 de agosto, os hackers mantiveram sua palavra e publicaram um despejo da base, que apareceu pela primeira vez no serviço Tor escondido. A base de cerca de 10 GB (na forma compactada) contém informações sobre 32 milhões de usuários, incluindo o histórico de pagamentos, que pode ser rastreado até 2008. Os pesquisadores já descobriram que cerca de 15.000 endereços de email no banco de dados têm domínios .mil ou .gov. Aparentemente, as senhas contidas no banco de dados foram armazenadas em hash usando bcrypt - mas, de acordo com especialistas em segurança , sempre há a possibilidade de que essas senhas sejam quebradas e, em seguida, as contas que ainda estão funcionando podem ser retiradas de todo o histórico de correspondência.



Revirando os dados, os onipresentes usuários de recursos 4chan descobriramem particular, vários registros pertencentes a membros do governo britânico e do Departamento de Defesa dos EUA (infelizmente, esse tópico de discussão foi removido do recurso).


Depois de analisar quase 3 GB (na forma descompactada) de arquivos que armazenam todas as transações financeiras, o correspondente do Virge criou um belo gráfico que mostra a atividade financeira dos usuários do

site.Além disso, também foram encontradas informações sobre a empresa entre os dados que vazaram. Isso, em particular, contas paypal de diretores, dados para acesso ao domínio de rede dos funcionários Windows da empresa e um grande número de documentos do fluxo de trabalho interno ( contratos, agendas, relatórios, apresentações, correspondência, resultados de vendas, etc.) Esses documentos apenas confirmam a autenticidade do incidente e ocultam muitas coisas interessantes.

Por exemplo, depois de vasculhá-las, os repórteres do BuzzFeed já descobriram que o único procedimento para a exclusão de contas pagas, que na verdade não excluíam dados do banco de dados, trouxe à empresa US $ 1,7 milhão apenas em 2014 .

Além disso, a empresa faturou US $ 2 milhões cobrando uma taxa mensal separada pelo uso do site a partir de dispositivos móveis, e US $ 600 mil pela oportunidade de os usuários que viajam mudarem de local para iniciar um caso no local em que estavam atualmente.

As informações extraídas da correspondência vazada da administração da empresa parecem irônicas. O engenheiro-chefe, Raja Batia, conversou com o proprietário da empresa, Baderman, sobre a possível compra do recurso do nerv.com, uma revista on-line dedicada a sexo, relacionamentos e cultura. Nervoso.com tentou hospedar um serviço de namoro adulto semelhante.

Alguns meses após a oferta de compra do nerv.com, Batia informou Baderman de que havia encontrado uma vulnerabilidade no nerv.com, para que ele tivesse acesso total ao banco de dados de recursos. Não está claro pela correspondência se, como resultado, os proprietários da Avid Life Media relataram aos proprietários do nerv.com sobre essa vulnerabilidade. Mas é mencionado que Biderman ficou encantado com a oportunidade de mesclar um banco de dados de clientes de um concorrente .

Na correspondência, eles até conseguiram encontrar o roteiro do filme, que o empresário canadense escreveu junto com outro autor. Um PDF do roteiro do filme , intitulado In Bed With Ashley Madison, foi encontrado em uma carta de janeiro de 2012.

resultados

A Avid Life Media fez o possível para silenciar o escândalo: por exemplo, enviou reclamações no Twitter para postagens que continham informações de um banco de dados perdido.

Naturalmente, esse furador não pode ser escondido em nenhuma bolsa, e as conseqüências das fraquezas das pessoas registradas lá os assombrarão por muito tempo. Mesmo que, de fato, além de se registrar em um recurso, uma pessoa não tenha feito nada errado, como os empregadores reagirão a ela se encontrarem seus dados no banco de dados? Serviço de segurança bancária? O que oficiais, professores, diretores de grandes empresas farão quando sua participação no recurso for divulgada? Sem mencionar o fato de que o número de divórcios neste outono terá que aumentar seriamente. Os advogados de divórcio já estão planejando seus super-lucros.

As consequências podem ser muito diferentes. Por exemplo, de acordo com as regras do Código Uniforme de Justiça Militar nos EUA (o código de leis pelo qual os militares atuam), o adultério é equiparado a crimes graves, e esses casos podem ser usados ​​para aumentar a punição, sendo adicionados a outras violações .

Um usuário do Reddit afirma ser gay, morando na Arábia Saudita, um país onde a homossexualidade é punível com a morte (não apenas simples, mas apedrejante). Ele escreve que, em conexão com esse vazamento, ele já planejou sua fuga do país .

A própria Avid Life Media, provavelmente, enfrenta falência - não tanto pelo escândalo que diminuiu a popularidade do site, mas pela série interminável de ações judiciais que provavelmente seguirão o incidente. Dois escritórios de advocacia canadenses já processaram mais de meio milhão de dólares em nome dos usuários afetados do site canadense.

Vigaristas astutos já viram a oportunidade de ganhar dinheiro extra com isso com a ajuda de chantagem - casos de extorsão ocorrem um após o outro. Chantagistas ameaçam rastrear o cônjuge (ou cônjuge) de uma pessoa cujos dados estão no banco de dados do site, se a vítima não pagar por silêncio. Chantagistas exigem uma taxa em bitcoins .

É possível que, como resultado de tais ações, ou sob a impressão do vazamento em si, duas pessoas em Toronto já tenham cometido suicídio, tentando evitar vergonha futura ( essas informações ainda não foram conclusivamente confirmadas ).

A polícia começou a procurar pessoas envolvidas em hackers e vazamento de dados. Já se soube que a pessoa que carregou os dados originais na rede para distribuição por torrents fez uma pequena bagunça com o servidor virtual , o qual foi criado especificamente para isso - e, talvez, seja possível acessá-lo através deste servidor.

O proprietário do recurso, a Avid Life Media, por sua vez, já ofereceu uma recompensa de meio milhão de dólares canadenses a alguém que contribuirá para a captura de hackers misteriosos.

Enquanto isso, sites especiais já apareceram na rede, onde você pode verificar se o seu email está presente no banco de dados de recursos.

Seis meses antes deste evento, o banco de dados de outro recurso sexual, AdultFriendFinder, vazou para a rede. Então, na Internet, obtivemos dados de quase 4 milhões de contas.

Source: https://habr.com/ru/post/pt383389/