Az oldalt a múlt hónapban feltörő hackerek betartották ígéretüket egy fenyegetést követően és rengeteg felhasználói adatot hoztak nyilvánosságra.
Az Ashley Madisont a múlt hónapban törték fel egyelőre ismeretlen személyek, akik az adatok megszerzését követően megfenyegettek minden felhasználót, hogy adataikat nyilvánosságra hozzák.
Az Ashley Madisont a múlt hónapban törték fel egyelőre ismeretlen személyek, akik az adatok megszerzését követően megfenyegettek minden felhasználót, hogy adataikat nyilvánosságra hozzák.
Ezek között az információk között (a hekkerek állítása szerint) szerepel a felhasználók valódi neve, lakcíme, e-mail címe és szexuális preferenciája. Az oldal egyébként arra kínál lehetőséget, hogy a házas embereknek "anonim módon, a személyes adataikat biztonságban tudva" lehessen viszonyuk. Az "elkövetők" (a regisztrált felhasználók) bizonyára rögtön kétségbeestek, hogy ezek után mi fog történni, de mivel egy ideig semmiféle információ nem bukkant fel, fellélegezhettek. Most azonban legrosszabb rémálmuk vált valóra, ugyanis a hekkerek egy majd 10 gigabyte-os fájlt tettek közzé az interneten - a BitTorrent seggítségével. Ugyan a fájlról nem derült ki egyértelműen, hogy az Ashley Madisonhoz adatbázisaiból származik-e az információ, néhány szakértő megállapította, hogy az általuk szerzett bizonyíték tényleg ebbe az irányba mutat.
Brian Krebs, aki eleinte szkeptikus volt a fájl eredetiségével kapcsolatban, azt állítja, hogy a közzétett információ nagyon is hitelesnek tűnik, miután három érintett személy önként jelezte, hogy megtalálta a fájlban a saját információit és bankkártyaszámának utolsó négy jegyét. Krebs hozzátette, hogy
[...] Biztos vagyok benne, hogy több millió AshleyMadison felhasználó van, aki azt kívánná, bárcsak ne lenne így, de minden arra utal, hogy a közzétett fájl valódi.
Mint kiderült, a fájlban nem csak nevek, de profilleírások, postai címek, GPS adatok, szexuális preferenciák és még magasságra és súlyra vonatkozó információk is szerepeltek. Emellett egy külön fájlt is nyilvánosságra hoztak, ami a tranzakciókra vonatkozó információkat tartalmazta, de nem szerepeltek benne a teljes számlaszámok és a számlázási címek.
A magát Impact Team-nek nevező csapat (feltehetően ők a felelősek a történtekért) egy üzenetet is mellékelt, miszerint a közzétett fájlért a felelősséget az Ashley Madisont üzemeltető ALM csoportnak kell vállalnia, amely "becsapott és átvert titeket". A kalózok azt javasolták az érintett felhasználóknak, hogy kérjenek kártérítést a cégtől (tudniillik, az oldalon fizetni kell azért, hogy kommunikálhassunk másokkal, valamint azért is, hogy töröljék fiókunkat (vagyis a "bizonyítékot")). Volt azonban még valami az üzenetben:
Nagy az esélye annak, hogy a férjed regisztrált a világ legnagyobb társkeresőjére, de senkivel sem volt viszonya. Csak próbálkozott. Ha ez a különbség számít.
Érdemes megjegyezni azonban, hogy az oldalt nem csak férfiak, de nők is használták, bár felmérések alapján sokkal kevesebben voltak, mint a férfiak. Arra is ki kell térni, hogy az oldalt nem mindenki használta arra, amire tervezték, több olyan személyről is hallani, aki azért regisztrált, hogy kutató munkát végezzen - és így a nyilvánosságra hozott adatok között valószínűleg az ő e-mail címe is szerepelt. Továbbá az sem számítható be konkrét bizonyítéknak, hogy egy ilyen adatbázisban szerepelt valakinek az e-mail címe, hiszen akárki bevihette oda (bármilyen forrásból).
Az ALM kiadott egy közleményt, miszerint fokozzák az oldal biztonságát (bár úgy tűnik, hogy már késő), illetve megkér mindenkit, akinek valamilyen információja van az "Impact Team" csoporttal kapcsolatban, hogy juttassák azt el email formájában a cégnek.
Troy Hunt biztonsági kutató jelenleg egy olyan oldalon dolgozik, ahová felviszi a nyilvánosságra hozott adatokat, így mindenki ellenőrizheti, hogy az övéi szerepeltek-e a fájlokban. Mivel nem szeretné, hogy az adatbázis nyilvánosan kereshető legyen, az oldalon egy ingyenes regisztrációra van szükség a kereséshez.
Az Impact Team a tegnapi napon közzétett még egy fájlt, ami méretben szinte duplája az előzőnek - nagyjából 20 gigabyte-os. A csapat most is mellékelt egy üzenetet, de az ezúttal a vezérigazgatónak, Noel Bidermannek szól:
Hé, Noel, most már beismerheted, megtörtént.
- Impact Team
Biderman azonban nem titkolta az esetet, még júliusban (mikor feltörték az oldalt) elmondta Brian Krebs-nek, hogy "nem tagadjuk, hogy ez megtörtént". Kedden az ALM egy olyan közleményt adott ki, amelyben igenis óvatosan fogalmaznak, hogy véletlenül se erősítsék meg a nyilvánosságra hozott adatok hitelességét. Raja Bhatia, egy alapítója az Ashley Madisonnak, azt állítja, hogy a hekkerek által közzétett fájl "hamis adatokat" is tartalmaz, azonban Brian Krebs és más szakértők kijelentették, hogy a fájl tartalma nagy valószínűséggel valódi.
A támadás után is fennáll a kérdés, hogy hiába tűnik úgy, hogy a vezérigazgatót célozzák ezek a támadások, tényleg az ő hibája az, hogy egy házas ember információi az adatbázisban szerepelnek? A korábbi, 10 gigabyte-os fájl nyilvánosságra hozatala előtt nagyon is úgy tűnt, hogy az Impact Team az oldal és a mögötte álló cég mellett a felhasználókat is meg akarta szégyeníteni, jelenlegi szándékuk azonban ismeretlen.
Forrás: Sophos NakedSecurity (#1 / #2)
