Утечка данных Эшли Мэдисон

Утечка персональных данных из онлайн-сервиса знакомств в 2015 году

В июле 2015 года неизвестное лицо или группа, называющая себя «The Impact Team», объявила, что они украли пользовательские данные Ashley Madison , коммерческого веб-сайта, который, как было заявлено, позволял заниматься внебрачными связями . Хакер(ы) скопировали личную информацию о базе пользователей сайта и пригрозили опубликовать имена пользователей и личную идентификационную информацию, если Ashley Madison немедленно не закроется. В качестве доказательства серьезности угрозы изначально были опубликованы личные данные более 2500 пользователей. Изначально компания отрицала, что ее записи небезопасны, но продолжала работать.

Из-за отсутствия на сайте адекватной системы безопасности и практики неудаления личной информации пользователей из базы данных, включая настоящие имена, домашние адреса, историю поиска и записи транзакций по кредитным картам, многие пользователи опасались публичного позора. ^[1]

18 и 20 августа было опубликовано более 60 гигабайт данных компании, включая данные пользователей. Опубликованные данные даже включали персональные данные пользователей, которые заплатили сайту за удаление своих персональных данных, поскольку компания не удалила данные, которые, по их словам, были стерты.

Хронология

Команда Impact Team объявила об атаке 19 июля 2015 года и пригрозила раскрыть личности пользователей Ashley Madison, если ее материнская компания Avid Life Media не закроет Ashley Madison и его дочерний сайт «Established Men». ^[2]

20 июля 2015 года сайт Ashley Madison опубликовал три заявления в разделе «Медиа», посвященных нарушению. Обычно загруженный аккаунт сайта в Twitter замолчал, не считая публикации пресс-заявлений. ^[3] Одно заявление гласило:

На данный момент нам удалось обезопасить наши сайты и закрыть несанкционированные точки доступа. Мы работаем с правоохранительными органами, которые расследуют это преступное деяние. Любые и все стороны, ответственные за этот акт кибертерроризма, будут привлечены к ответственности. Используя Закон об авторском праве в цифровую эпоху (DMCA), наша команда успешно удалила сообщения, связанные с этим инцидентом, а также всю персонально идентифицируемую информацию (PII) о наших пользователях, опубликованную в сети. ^[4]

Сайт также предложил отказаться от платы за удаление аккаунта.

Более 2500 записей о клиентах были опубликованы «The Impact Team» 21 июля, но компания изначально отрицала утверждение, что ее основная база данных была небезопасна и была взломана. ^[5] Однако более 60 гигабайт дополнительных данных были опубликованы 18 августа и были подтверждены как действительные. ^[6] Информация была опубликована на BitTorrent в виде 10-гигабайтного сжатого архива; ссылка на него была размещена на сайте даркнета, доступном только через анонимную сеть Tor . ^[7] Данные были криптографически подписаны ^[8] ключом PGP . В своем сообщении группа обвинила Avid Life Media, обвинив компанию в мошеннических действиях: «Мы объяснили мошенничество, обман и глупость ALM и ее членов. Теперь все могут увидеть их данные... Жаль ALM, вы обещали секретность, но не обеспечили ее». ^[9]

В ответ Avid Life Media опубликовала заявление о том, что компания сотрудничает с властями для расследования, и заявила, что хакеры были не « хактивистами », а преступниками. ^[10] Вторая, более масштабная утечка данных произошла 20 августа 2015 года, самый большой файл из которых включал 12,7 гигабайт корпоративных писем , включая письма Ноэля Бидермана , генерального директора Avid Life Media. ^[11]

В июле 2017 года компания Avid Life Media (переименованная в Ruby Corporation) согласилась урегулировать два десятка судебных исков, связанных с нарушением, на сумму 11,2 млн долларов. ^{[12] [13]}

Влияние и этика

Ни одна из учетных записей на сайте не требует подтверждения адреса электронной почты для создания профиля, а это означает, что люди часто создают профили с поддельными адресами электронной почты. Компания Эшли Мэдисон потребовала от владельца учетной записи электронной почты заплатить деньги за удаление профиля, не позволяя людям, у которых были учетные записи, созданные без их согласия (в качестве розыгрыша или неправильно набранного адреса электронной почты), удалить их без оплаты. ^[14] Хакеры утверждают, что Avid Life Media получала 1,7 миллиона долларов в год от людей, которые платили за закрытие профилей пользователей, созданных на сайте. Компания ложно утверждала, что оплата «полностью удалит» профили, что, как показал взлом, было неправдой. ^[14]

Джош Даггар , 27-летний мужчина, который прославился как подросток из консервативной христианской семьи, показанный в реалити- шоу под названием 19 Kids and Counting , был одним из заметных пользователей Ashley Madison, чьи данные были взломаны. Опубликованные данные включали записи почти 1000 долларов транзакций по счету кредитной карты на его имя. Новость о раскрытии данных усугубила его проблемы с разоблачениями в начале того года о полицейских отчетах о его сексуальных домогательствах; 20 августа он признался, что был неверен своей жене. ^{[15] [16]} Утечка данных последовала за публикацией прошлого полицейского отчета, в котором утверждалось, что он ласкал пять несовершеннолетних девочек, включая нескольких своих сестер. 25 августа он зарегистрировался в реабилитационном центре. ^{[17] [18] [19]}

После взлома сообщества интернет-мстителей начали прочесывать сайты, чтобы найти известных людей, которых они планировали публично унизить . ^[20] France24 сообщил, что в просочившейся базе данных было 1200 адресов электронной почты Саудовской Аравии « .sa », которые были еще более подвержены вымогательству, поскольку супружеская измена карается смертью в Саудовской Аравии. ^[21] На сайте было зарегистрировано несколько тысяч адресов электронной почты США .mil и .gov . ^{[22] [23] [24]} В течение нескольких дней после взлома вымогатели начали нападать на людей, чьи данные были включены в утечку, пытаясь выманить у них биткоины на сумму более 200 долларов США . ^{[25] [26] [27]} Одна компания начала предлагать «поисковик», где люди могли вводить адреса электронной почты коллег или своих супругов на веб-сайт, и если адрес электронной почты был в утечке базы данных, то компания отправляла им письма с угрозами, что их данные будут раскрыты, если они не заплатят компании деньги. ^{[28] [29]}

Различные исследователи безопасности и активисты, защищающие конфиденциальность в Интернете , обсуждали медийную этику журналистов, сообщающих о специфике данных, таких как имена пользователей, которые, как выяснилось, являются участниками. ^{[20] [30] [31] [32]} Ряд комментаторов сравнили взлом с потерей конфиденциальности во время взлома фотографий знаменитостей в 2014 году . ^{[33] [34]}

Клинические психологи утверждали, что рассмотрение интрижки в особо публичном порядке увеличивает боль для супругов и детей. ^[35] Кэролин Грегуар утверждала, что «Социальные сети создали агрессивную культуру публичного позора, в которой люди берут на себя ответственность наносить психологический ущерб» и что чаще всего «наказание выходит за рамки преступления». ^[35] Грэм Клули утверждал, что психологические последствия для людей, которых позорят, могут быть огромными, и что некоторых из них могут запугать и заставить покончить жизнь самоубийством. ^{[36] [37]} Чарльз Дж. Орландо, который присоединился к сайту для проведения исследования женщин, которые изменяют, написал о своей обеспокоенности по поводу супругов и детей раскрытых изменников, заявив, что « толпа , которая является Интернетом, более чем готова выступать в роли судьи, присяжных и палача» и что участники сайта не заслуживают «порки на виртуальной городской площади перед миллионами зевак». ^[38]

24 августа 2015 года полиция Торонто объявила, что с утечкой данных связаны два неподтвержденных самоубийства, в дополнение к «сообщениям о преступлениях на почве ненависти, связанных со взломом». ^{[39] [40]} По неподтвержденным сообщениям, в США мужчина покончил жизнь самоубийством. ^[28] По крайней мере одно самоубийство, которое ранее связывали с Эшли Мэдисон, с тех пор было объявлено как произошедшее из-за «стресса, полностью связанного с проблемами на работе, которые не имели никакого отношения к утечке данных». ^[41] В тот же день пастор и профессор Баптистской теологической семинарии Нового Орлеана покончил с собой, сославшись на утечку, произошедшую шесть дней назад. ^[42]

Пользователи, чьи данные были раскрыты, подали коллективный иск на сумму 567 миллионов долларов против Avid Dating Life и Avid Media, владельцев Ashley Madison, через канадские юридические фирмы Charney Lawyers и Sutts, Strosberg LLP. ^[43] В июле 2017 года владелец Ruby Corp. объявил, что компания урегулирует иск за 11,2 миллиона долларов. ^[44] В интервью 2019 года директор по стратегии Ashley Madison Пол Кибл подтвердил установку функций безопасности, таких как двухфакторная верификация, соответствие PCI и полностью зашифрованный просмотр, в результате хакерской атаки 2015 года. ^[45]

В 2024 году Netflix выпустил трехсерийный документальный сериал « Эшли Мэдисон: Секс, ложь и скандал» , посвященный инциденту. ^[46]

Анализ данных

Аннали Ньюитц , главный редактор Gizmodo , проанализировала просочившиеся данные. ^[47] Первоначально они обнаружили, что только около 12 000 (0,2%) из 5,5 миллионов зарегистрированных женских аккаунтов использовались регулярно. ^{[48] [49]} Подавляющее большинство аккаунтов использовалось только один раз, в день регистрации. Ньюитц также обнаружила, что многие женские аккаунты были созданы с одного и того же IP-адреса, что говорит о наличии множества фейковых аккаунтов. Они обнаружили, что женщины проверяют сообщения электронной почты очень редко: каждый раз, когда женщина проверяла свою электронную почту, 13 585 мужчин проверяли свою. Только 9700 из 5 миллионов женских аккаунтов когда-либо отвечали на сообщение, по сравнению с 5,9 миллионами мужчин, которые делали бы то же самое. Они пришли к выводу: «Женские аккаунты показывают настолько малую активность, что их могло бы и не быть там». ^[48] ​​В последующей статье на следующей неделе Ньюиц признал, что они «неправильно поняли доказательства» в своей предыдущей статье и что их вывод о том, что на сайте было мало активных женщин, был основан на данных, фиксирующих действия «ботов» при контакте с участниками. Ньюиц подтвердил, что Эшли Мэдисон создала более 70 000 женщин-ботов, чтобы отправлять миллионы поддельных сообщений пользователям-мужчинам. Тем не менее, они отмечают, что «у нас нет абсолютно никаких данных, фиксирующих человеческую активность, в дампе базы данных Эшли Мэдисон от Impact Team. Все, что мы можем видеть, это когда поддельные люди связывались с настоящими». Они отметили, что сайт, похоже, отслеживал контакты между людьми, но Impact Team не опубликовала эти данные. ^[50]

Пароли на работающем сайте были хэшированы с использованием алгоритма bcrypt . ^{[51] [52]} Аналитик по безопасности, использующий инструмент восстановления паролей Hashcat со словарем, основанным на паролях RockYou, обнаружил, что среди 4000 паролей, которые было легче всего взломать, «123456» и «password» были наиболее часто используемыми паролями на работающем сайте. Анализ старых паролей в архивной версии показал, что «123456» и «password» были наиболее часто используемыми. ^[53] Из-за ошибки проектирования, когда пароли также хэшировались отдельно с помощью небезопасного алгоритма MD5 , в конечном итоге было взломано 11 миллионов паролей. ^[54]

Признавая, что некоторые мужчины обнаружили уловку, штатный автор Financial Post Клэр Браунелл предположила, что если бы было проведено всего несколько взаимодействий, тест Тьюринга мог бы быть пройден чат-ботами , имитирующими женщин , которые обманули многих мужчин, купив специальные аккаунты. ^[55]

Популярная культура

• Утечка данных стала темой сериала Netflix 2024 года «Эшли Мэдисон: секс, ложь и скандал» .

Смотрите также

• Интернет-бдительность
• Онлайн-позор

Ссылки

1. Томсен, Саймон (20 июля 2015 г.). «Веб-сайт Ashley Madison, посвященный внебрачным связям, был взломан, и злоумышленники угрожают утечкой данных в сеть». Business Insider . Архивировано из оригинала 14 апреля 2021 г. Получено 21 июля 2015 г.
2. "Взломан сайт онлайн-мошенничества AshleyMadison". krebsonsecurity.com. 15 июля 2015 г. Архивировано из оригинала 16 декабря 2021 г. Получено 20 июля 2015 г.
3. "Ashley Madison". Twitter . Архивировано из оригинала 19 августа 2015 . Получено 20 августа 2015 .
4. Ashley Madison (20 июля 2015 г.). «Заявление от Avid Life Media, Inc». Архивировано из оригинала 21 июля 2015 г. Получено 22 июля 2015 г.
5. Херн, Алекс (21 июля 2015 г.). «Ashley Madison customer service in meltdown as site fighting hack fallout». The Guardian . Архивировано из оригинала 1 марта 2017 г. Получено 14 декабря 2016 г.
6. "Эшли Мэдисон осуждает атаку, поскольку эксперты говорят, что взломанная база данных реальна". The Guardian . 19 августа 2015 г. Архивировано из оригинала 26 марта 2016 г. Получено 19 августа 2015 г.
7. Херн, Алекс (20 августа 2015 г.). «Взлом Эшли Мэдисон: ответы на ваши вопросы». The Guardian . Архивировано из оригинала 2 марта 2017 г. Получено 14 декабря 2016 г.
8. «Нет, вы не можете нанять хакера, чтобы стереть вас из утечки Ashley Madison». Fast Company . 20 августа 2015 г. Архивировано из оригинала 20 августа 2015 г. Получено 21 августа 2015 г.
9. «Хакеры наконец-то опубликовали украденные данные Ashley Madison». WIRED . 18 августа 2015 г. Получено 19 августа 2015 г.
10. «Заявление от Avid Life Media Inc. – 18 августа 2015 г.». Эшли Мэдисон. 18 августа 2015 г. Архивировано из оригинала 19 августа 2015 г. Получено 19 августа 2015 г.
11. Pagliery, Jose (20 августа 2015 г.). «Хакеры раскрывают электронные письма генерального директора Ashley Madison». CNN Business . Архивировано из оригинала 28 марта 2022 г. Получено 2 августа 2020 г.
12. Кравец, Дэвид (17 июля 2017 г.). «Юристы добились большого успеха в урегулировании вопроса о взломе данных сайта Ashley Madison». Ars Technica . Архивировано из оригинала 19 июля 2017 г. Получено 19 июля 2017 г.
13. Ruby Life Inc. (14 июля 2017 г.). «Ruby Corp и истцы достигли предложенного урегулирования коллективного иска относительно утечки данных Ashley Madison». PR Newswire (пресс-релиз) . Получено 19 июля 2017 г.
14. "Какой-то чувак создал учетную запись Ashley Madison, связанную с моей почтой Gmail, и все, что я получил, — это этот паршивый экран вымогательства". The Intercept . 21 июля 2015 г. Архивировано из оригинала 22 августа 2015 г. Получено 24 августа 2015 г.
15. Форд, Дана (20 августа 2015 г.). «Джош Даггар после взлома Ashley Madison: «Я был самым большим лицемером на свете». CNN . Архивировано из оригинала 20 августа 2015 г. Получено 20 августа 2015 г.
16. Remling, Amanda (20 августа 2015 г.). «Звезда сериала «19 Kids And Counting» Джош Даггар признался, что был неверен жене Анне после утечки информации об Эшли Мэдисон». International Business Times . Архивировано из оригинала 20 августа 2015 г. Получено 20 августа 2015 г.
17. Puente, Maria (26 августа 2015 г.). «Джош Даггар проходит реабилитацию, говорят родственники». USA Today . Архивировано из оригинала 19 мая 2018 г. Получено 22 августа 2017 г.
18. Лаример, Сара (26 августа 2015 г.). «Джош Даггар попадает в «центр длительного лечения» из-за «неправильного выбора». The Washington Post . Архивировано из оригинала 19 мая 2018 г. Получено 22 августа 2017 г.
19. Леопольд, Тодд (26 августа 2015 г.). «Джош Даггар отправляется в реабилитационный центр, говорит семья». CNN . Архивировано из оригинала 30 августа 2015 г. Получено 26 августа 2015 г.
20. "Early Notes on the Ashley Madison Hack". The Awl . Архивировано из оригинала 21 августа 2015 года . Получено 20 августа 2015 года .
21. "Америки - Глобальные последствия взлома Ashley Madison". Франция 24 . 20 августа 2015 г. Архивировано из оригинала 23 августа 2015 г. Получено 24 августа 2015 г.
22. Гиббонс-Нефф, Томас (19 августа 2015 г.). «Тысячи адресов .mil потенциально утекли при взломе Ashley Madison». The Washington Post . Архивировано из оригинала 20 августа 2015 г. Получено 20 августа 2015 г.
23. "Отчет: Взлом сайта о супружеской неверности Ashley Madison раскрыл электронные письма военных". Military.com . 31 октября 2017 г. Архивировано из оригинала 20 августа 2015 г. Получено 20 августа 2015 г.
24. Эвинг, Филип (20 августа 2015 г.). «Пентагон расследует, использовали ли войска мошеннический веб-сайт». Politico . Архивировано из оригинала 20 августа 2015 г. Получено 21 августа 2015 г.
25. Кребс, Брайан (21 августа 2015 г.). «Вымогатели нападают на пользователей Ashley Madison». Кребс о безопасности . Архивировано из оригинала 22 августа 2015 г. Получено 22 августа 2015 г.
26. "Вымогательство начинается для жертв взлома Ashley Madison". The Hill . 21 августа 2015 г. Архивировано из оригинала 23 августа 2015 г. Получено 24 августа 2015 г.
27. "Пользователи Ashley Madison теперь сталкиваются с вымогательством". FOX2now.com . 21 августа 2015 г. Архивировано из оригинала 22 августа 2015 г. Получено 24 августа 2015 г.
28. "Начался спам в Ashley Madison, поскольку утечка связана с первым самоубийством". theregister.co.uk . Архивировано из оригинала 11 марта 2017 г. . Получено 24 августа 2017 г. .
29. «Дела Эшли Мэдисон — неужели люди действительно настолько глупы?». theregister.co.uk . Архивировано из оригинала 22 марта 2017 года . Получено 24 августа 2017 года .
30. «Вслед за Эшли Мэдисон, к журналистской этике использования взломанных документов». Блог онлайн-журналистики . 20 июля 2015 г. Архивировано из оригинала 18 августа 2015 г. Получено 20 августа 2015 г.
31. "Взлом Ashley Madison: Этика именования пользователей - Fortune". Fortune . Архивировано из оригинала 20 августа 2015 . Получено 20 августа 2015 .
32. "Джон Ронсон и публичное порицание". onthemedia . Архивировано из оригинала 4 марта 2016 года . Получено 20 августа 2015 года .
33. "Взлом Эшли Мэдисон: удручающий рост "морального" хакера". Telegraph.co.uk . 20 августа 2015 г. Архивировано из оригинала 15 сентября 2017 г. Получено 4 апреля 2018 г.
34. «Поскольку в нашу личную жизнь становится все легче вторгаться, теряем ли мы вкус к грязным историям о знаменитостях?». newstatesman.com . 5 августа 2015 г. Архивировано из оригинала 21 августа 2015 г. Получено 20 августа 2015 г.
35. Gregoire, Carolyn (20 августа 2015 г.). «Взлом Ashley Madison может иметь разрушительные психологические последствия». HuffPost . Архивировано из оригинала 23 ноября 2015 г. Получено 24 августа 2015 г.
36. «Взлом Ashley Madison — дальнейшие мысли о его последствиях». Грэм Клули . 28 июля 2015 г. Архивировано из оригинала 18 сентября 2016 г. Получено 24 августа 2015 г.
37. Фархад Манджу (6 сентября 2015 г.). «Жертвы хакерских атак заслуживают сочувствия, а не насмешек». Sydney Morning Herald . Архивировано из оригинала 7 сентября 2015 г. Получено 6 сентября 2015 г.
38. Charles J. Orlando (23 июля 2015 г.). «Меня взломали на Ashley Madison – но стыдно должно быть вам». Yahoo! Style . Архивировано из оригинала 21 марта 2017 г. Получено 8 октября 2015 г. – через Your Tango .
39. "Взлом Ashley Madison: 2 неподтвержденных самоубийства связаны со взломом, сообщает полиция Торонто". CBC . 24 августа 2015 г. Архивировано из оригинала 24 августа 2015 г. Получено 24 августа 2015 г.
40. "Suicide and Ashley Madison". Грэм Клули . 24 августа 2015 г. Архивировано из оригинала 24 сентября 2015 г. Получено 24 августа 2015 г.
41. Белтран, Джейкоб (25 августа 2015 г.). «Вдова обращается к самоубийству капитана полиции Южной Австралии, связанному с сайтом Эшли Мэдисон». San Antonio Express News. Архивировано из оригинала 17 марта 2021 г. Получено 27 августа 2015 г.
42. Лори Сегалл (8 сентября 2015 г.). «Пастор, раскрытый на Эшли Мэдисон, совершает самоубийство». CNN Business . Архивировано из оригинала 14 мая 2020 г. Получено 2 августа 2020 г.
43. "Эшли Мэдисон сталкивается с огромным коллективным иском". BBC News . 23 августа 2015 г. Архивировано из оригинала 4 декабря 2020 г. Получено 24 августа 2015 г.
44. "Родитель Ashley Madison получил компенсацию в размере 11,2 млн долларов за утечку данных". CNBC . 15 июля 2017 г. Архивировано из оригинала 15 июля 2017 г. Получено 15 июля 2017 г.
45. "Обзор Эшли Мэдисон". Datingscout.com . Архивировано из оригинала 25 ноября 2020 . Получено 5 января 2020 .
46. Alptraum, Lux (15 мая 2024 г.). «Самые важные уроки из нового документального фильма Netflix о скандале с Эшли Мэдисон». MSNBC . Получено 21 мая 2024 г.
47. Newitz, Annalee (27 августа 2015 г.). «Фемботы Эшли Мэдисон». Gizmodo . Архивировано из оригинала 27 августа 2015 г. Получено 28 августа 2015 г.
48. Reed, Brad (27 августа 2015 г.). «Самое веселое откровение о взломе Ashley Madison на данный момент». Yahoo! Tech . Архивировано из оригинала 28 августа 2015 г. Получено 28 августа 2015 г.
49. Галлахер, Пол (27 августа 2015 г.). «Взлом Ashley Madison: только три из каждых 10 000 женских аккаунтов на сайте неверности являются реальными». The Independent . Архивировано из оригинала 28 ноября 2018 г. Получено 24 августа 2017 г.
50. Newitz, Annalee (31 августа 2015 г.). «Ashley Madison Code Shows More Women, and More Bots». Gizmodo . Архивировано из оригинала 19 октября 2017 г. Получено 19 декабря 2015 г.
51. Дин Пирс. «Продуманная безопасность». pxdojo.net . Архивировано из оригинала 28 августа 2015 г. Получено 29 августа 2015 г.
52. Зак Уиттакер. «Это худший пароль от взлома Ashley Madison». ZDNet . Архивировано из оригинала 28 августа 2015 г. Получено 29 августа 2015 г.
53. Include Security (19 августа 2015 г.). "Блог Include Security - Как ROT13 поворачивает....: легкий криминалистический анализ взлома AshleyMadison". includesecurity.com . Архивировано из оригинала 22 августа 2015 г. . Получено 20 августа 2015 г. .
54. Гудин, Дэн (10 сентября 2015 г.). «Когда-то считавшиеся пуленепробиваемыми, более 11 миллионов паролей Ashley Madison уже взломаны». Ars Technica . Архивировано из оригинала 10 сентября 2015 г. Получено 10 сентября 2015 г.
55. Браунелл, Клэр (11 сентября 2015 г.). «Внутри Эшли Мэдисон: звонки от плачущих супругов, поддельные профили и взлом, который изменил все». Financial Post . Архивировано из оригинала 29 сентября 2015 г. Получено 18 сентября 2015 г.