Эшли мэдисон – Исторический взлом, который навсегда изменит секс-сайты, обманывающие всех подряд | Мир | ИноСМИ

Как сайт знакомства Ashley Madison довел людей до суицида

24 августа двое пользователей Ashley Madison — сайта знакомств для легкого поиска приключений на одну ночь — покончили жизнь самоубийством. «Отвратительные мужики» рассказывают, что это за портал и почему все зашло так далеко.

Что за сайт?

Ashley Madison — канадский портал для съема в интернете, проект открылся в 2001 году. Его фишкой стала направленность на поиск секса на стороне: создатели утверждали, что это идеальный сайт для легкого перепихона, если вы состоите в браке или долгих отношениях. Об этом же кричит и его официальный лозунг «Жизнь коротка. Заведи интрижку», и рекламные щиты в городах США. Сайт быстро набрал популярность и в 2015 году пробил потолок в 120 миллионов посещений в месяц.

Та самая реклама для «Суперкубка» с участием порноактрисы Кайден Кросс.

Скандальная политика Ashley Madison привлекла внимание общественности: многие обвиняли создателей в том, что их бизнес построен на паразитировании на разбитых парах и разрушенных браках. Да они и сами были не против добавить жару: в 2009 году хотели пустить свою рекламу во время трансляции «Суперкубка», а в следующем году пытались договориться насчет переименований сразу двух архитектурных объектов. Сначала изъявили желание назвать аэропорт «Финикс Скай-Харбор» — «Аэропортом Мэдисон», а затем пробовали договориться с владельцами стадиона «Метлайф Стадиум» с той же целью. В обоих случаях авторам проекта было отказано.

Что произошло?

Популярность сама нашла Ashley Madison: 20 июля группа хакеров The Impact Team похитила аккаунты 37 миллионов пользователей. Через какое-то время они выдвинули требования: полное закрытие канадского сайта знакомств, а также похожего ресурса от той же компании — Established Men. В качестве превентивной меры злоумышленники опубликовали данные 5 миллионов учетных записей: приватные переписки, откровенные фотографии, сексуальные рассказы, настоящие имена и платежные реквизиты. Впоследствии заработали даже специальные сайты, предлагающие проверить верность вашей второй половинки.

0116_ashley-biderman_1200x675

Команда разработчиков Ashley Madison извинились перед клиентами, но закрывать портал не стала, так как это привело бы к многомиллионным убыткам. Незадолго до происшествия, они намеревались выставить акции компании на биржах Лондона, что привлекло бы около 200 миллионов долларов инвестиций.

«Преступник или преступники, совершившие это, назначили себя судьями морали, присяжными и палачами, решив навязать собственные принципы нравственности обществу. Мы не будем спокойно сидеть в стороне и не позволим этим ворам диктовать свою идеологию людям по всему миру», — заявил тогда создатель Ashley Madison и владелец холдинга Avid Life Media Ноэль Бидерман.

heres-kim-jong-un-as-the-posterboy-for-adultery-website-ashley-madison

Спустя месяц The Impact Team выполнили обещание и опубликовали оставшиеся 32 миллиона аккаунтов с той же информацией: паролями, логинами, конфиденциальными данными и финальным обращением к пользователям. В нем они заявили, что на сайте много поддельных учетных записей женщин, владельцы которых разводят мужчин на деньги и присылают им не настоящие фотографии. В конце взломщики добавили, что клиентам стоит подать в суд на разработчиков Ashley Madison за то, что те не могут защитить приватную информацию.

Кто виноват?

Как сообщает Wired, за кражей такого количества данных мог стоять технический директор Avid Life Media и один из создателей Ashley Madison — Раджа Бхатия. Это стало известно из переписки, датированной ноябрем 2012 года.

порно

Бхатия, занимавший эту должность с 2007 по 2010 год, пишет генеральному директору холдинга Ноэлю Бидерману следующее: «Я взломал Nerve.com (сайт сексуальной тематики с откровенными рассказами и историями — прим. ред.): у них паршивая защита, я получил базу данных пользователей. Также я могу в любой момент читать переписку даже между владельцами платных аккаунтов и смотреть статистику посещений. Мне стоит их оповестить?». Ответа на этот вопрос в последующих сообщениях нет.

Controversial Online-Affair Website Launched In SA

Затем Раджа написал: «С Ashley Madison мы испытываем те же проблемы, но безопасность для нас не главное. Мне кажется, хватит базы сохраненных паролей и без дополнительного шифрования». Если за июльским саботажем стоял именно бывший технический директор компании, то он будет привлечен к уголовной ответственности за злоупотребление полномочиями и мошенничество.

Что дальше?

Как передает канадская полиция, 24 августа в Торонто двое пользователей Ashley Madison совершили суицид. Мошенники начали шантажировать известных людей, политиков и обычных граждан, чьи учетные записи были взломаны. А некоторые СМИ с удовольствием публиковали подобную слитую информацию.

Подробностей про несчастных самоубийц пока нет, но можно догадаться, что «грязное белье» многих людей вылезло наружу, после того, как был опубликован тот самый архив. Известно, что сейчас холдинг Avid Life Media активно сотрудничает с ФБР и предлагает 378 тысяч долларов за информацию о хакерской группировке The Impact Team.

Как сервис Ashley Madison попал в ловушку собственного вранья — Секрет фирмы

Аккаунт Ashley Madison в Twitter, до этого публиковавший твиты каждый день, замолчал на месяц. Данные пользователей появились в глубоком интернете (туда можно попасть с помощью браузера Tor) 19 августа, и компания опубликовала официальное заявление. Она отметила, что плотно работает с властями и что преступники будут наказаны. Тому, кто поделится информацией о взломщиках, было обещано вознаграждение — $380 000.

В открытом доступе появились имена пользователей Ashley Madison, их адреса, мобильные, номера банковских карт и другая информация из профиля. Эту утечку персональных данных назвали самой большой в истории интернета. Хакеры выложили внутреннюю переписку сотрудников компании. В ней журналисты обнаружили информацию о запуске приложения What’s Your Wife Worth («Сколько стоит твоя жена»). Приложение позволяет мужчинам загружать фотографии своих жён и оценивать их в баллах и долларах. Последний раз программа упоминается в письмах в феврале 2014 года — это может означать, что от её реализации отказались. Раньше Бидерман уже делал похожий проект Hotornot (ещё до появления Tinder), который продал после того, как App Store отказался от размещения приложения. «Рейтинговать людей оскорбительно; свайпить их — нормально. Жаль, что я до этого не додумался», — cокрушался Бидерман в интервью Forbes.

Бизнес на вранье

В отличие от Match.com или Tinder, где пользователь может бесплатно общаться с партнёрами, Ashley Madison брала деньги с мужчин за отправку сообщений. По словам Бидермана, это помогало сервису отсечь неплатёжеспособную аудиторию. Средний возраст мужчины на сайте — 40 лет, это состоятельные люди, так что такой подход не должен их отпугнуть. Он любит делиться наблюдениями: «Мужчин в возрасте 39 лет на сайте в четыре раза больше, чем тех, кому 38. Это такой страх того, что ему скоро стукнет 40?»

Бидерман сравнивает общение в Ashley Madison со встречей в баре — угощает всегда мужчина. За $49 пользователь получает 100 кредитов, которых хватает на 20 писем разным дамам. За $20 в месяц можно выбрать программу путешествий, чтобы было удобно заводить отношения в командировках или в поездках за границу. Опция Priority Man позволяет поднимать анкету вверх и держать имейлы вверху почтового ящика отправителя. Пользователи могут заплатить $19 за то, чтобы их сообщения и профили навсегда удалили, а также купить страховку за $249 — она гарантирует возврат всех потраченных денег, если в течение трёх месяцев мужчина заведёт интрижку с помощью сайта. По оценке Forbes, в среднем мужчины тратят на Ashley Madison $200–300 в год. Бидерман говорит, что такое ценообразование «заставляет людей быть более избирательными и отправлять сообщения тем, кто действительно интересен».

Создавшему бизнес на вранье и изменах, Бидерману самому часто приходится лгать. Например, когда его спрашивают, чем он зарабатывает на жизнь, Бирдеман представляется адвокатом. В 2010 году Ashley Madison принесла выручку в $40 млн, в 2012-м — $90 млн, в 2013-м — $125 млн. По словам Бидермана, 25% этих денег — прибыль.

Редактор Gizmodo Аннали Ньюлитц обнаружила, что из 37 млн скомпрометированных аккаунтов только 5 млн — женские. При этом многие привязаны к электронным адресам на ashleymadison.com, а имена женщин выглядят странно. Только 9700 женщин ответили хотя бы на одно сообщение, среди мужчин этот показатель — 6 млн. Хакеры уже указывали на то, что Ashley Madison обманывал своих клиентов, заставляя их платить $19 за удаление аккаунта (как показал взлом, на самом деле ничего не удалялось) и за общение с несуществующими женщинами. Ещё раньше бывшая сотрудница Avid Life пыталась засудить компанию за то, что повредила запястья, пока ежедневно создавала сотни фейковых профилей сексуальных женщин.

Ньюлитц приходит к выводу, что всё это время компания выкачивала деньги из воздуха.

Сейчас, когда каждый день появляются всё новые подробности работы сервиса, кажется, что вся история компании построена на лжи. Теперь даже реальных пользователей, сходивших на свидание или выступивших в поддержку сайта, подозревают в сговоре с компанией и работе на сервис. Журналист Гленн Гринберг на днях получил в ответ на свою колонку несколько писем от женщин, которые пользовались сервисом и защищали его. Пользовательницы пишут, что Ashley Madison помогла им сохранить семьи, когда вести сексуальную жизнь с мужьями не было возможности — они страдали от онкологических заболеваний. Конечно, читатели тут же заподозрили, что эти искренние письма — очередной фейк, сфабрикованный самой компанией.

Пользователи Ashley Madison до сих пор страдают от мошенников

Год назад произошел масштабный взлом, который оказал глубокое влияние на жизни людей, пострадавших от утечки данных, а также похоронил под собой многообещающий, хотя и неоднозначный бизнес.

Неизвестная группировка, назвавшая себя Impact Team, взломала канадский сайт знакомств для женатых людей Ashley Madison, слив в открытый доступ данные более 37 миллионов пользователей из 40 стран мира, исходный код сайта, а также внутреннюю переписку первых лиц компании. Это событие радикально поменяло жизнь многих людей — и привлекло к жертвам внимание мошенников, решивших дополнительно нажиться на пользователях сайта.

Они сами напросились

Хотя взломщики обычно похищают данные с целью их дальнейшей перепродажи, в случае с Ashley Madison злоумышленники, как оказалось, не хотели денег — они требовали «справедливости».

Сначала руководство компании Avid Life Media, владеющей Ashley Madison, получило сообщение от группировки Impact Team, в котором хакеры сообщили о взломе трех сайтов, принадлежащих компании, и о своем единственном требовании — закрытии «непристойных» сайтов под угрозой публикации данных пользователей ресурса. Компания не выполнила требования шантажистов, и спустя месяц группировка реализовала свою угрозу.

Многие пользователи запаниковали, боясь не столько компрометации кредиток, сколько раскрытия интрижек и публикации интимных фото. Исследователи тем временем засучили рукава и приступили к анализу исходного кода сайта, очень быстро обнаружив немало любопытных вещей.

Во-первых, оказалось, что исходный код Ashley Madison содержал несколько слабых мест, позволивших взломщикам с легкостью перемещаться по инфраструктуре сайта после проникновения за «защитный периметр». Во-вторых, анализ показал слабость требований сайта к паролям: используемые пользователями комбинации включали от пяти до восьми знаков и не более двух видов символов.

Опять про Ashley Madison. На этот раз эксперты изучили исходники сервиса и говорят, что там все плохо: https://t.co/3n8wl9i2TV

— Kaspersky Lab (@Kaspersky_ru) September 10, 2015

После того как все покровы были сорваны, Avid Life Media и ее клиентам пришлось жить с последствиями — масштабными и неоднозначными, а также намного более серьезными, чем эффекты от утечек в других, даже самых популярных сервисах.

Убытки, потеря репутации, разрушение надежд: последствия утечки для компании

В подавляющем большинстве случаев реакцией общественности на утечку стало злорадство — в глазах многих компания, построившая свой бизнес на обмане супругов и разрушении браков, получила по заслугам. Затем последовал анализ данных, выложенных хакерами на всеобщее обозрение, включая конфиденциальные внутрикорпоративные сведения. Результаты разозлили уже самих пользователей.

Ребята, угнавшие данные у сайта Ashley Madison, продолжают веселье: выложили переписку главы компании — https://t.co/GZ6jP8vx4t

— Kaspersky Lab (@Kaspersky_ru) August 24, 2015

Исследователи выяснили, что рекламные обещания Ashley Madison, привлекшие на сайт десятки миллионов людей, оказались ложью. Во-первых, ресурс обещал своим пользователям «право на забвение» — якобы за дополнительную плату $19 клиент мог полностью и навсегда удалить все данные своего профиля. За год выручка компании от продажи одной только этой услуги составила $1,7 миллиона.

Но на самом деле сервис удалял данные профиля, но не платежные реквизиты, которые содержали реальные имена, номера кредитных карт и точные адреса клиентов. Все это по-прежнему хранилось на серверах. Таким образом, даже регистрируясь под вымышленной личиной, подписчик все-таки делился своим реальным именем с владельцами сайта и не имел возможности удалить эти данные впоследствии.

Дальнейшая работа исследователей подтвердила, что большинство флиртующих женщин на Ashley Madison — не настоящие пользователи, а чат-боты, которые должны были «разговорить» и «завлечь» новичков до такой степени, чтобы те приобрели дополнительные услуги для продолжения знакомства. Эта работа велась компанией целенаправленно и даже учитывала культурные особенности страны пользователя — например, подписчиков «сводили» с представительницами определенной расы.

Кстати, о сайтах знакомств. Тут выяснилось, что большинство женщин на взломанном Ashley Madison — боты: https://t.co/xQMLEdihMV

— Kaspersky Lab (@Kaspersky_ru) September 3, 2015

Бессилие Avid Life Media перед неизвестными и, очевидно, готовыми пойти до конца хакерами стоило компании многого: через несколько месяцев после злосчастного инцидента Avid Life Media хотела выйти на IPO, но шанс заработать $200 миллионов на продаже акций растаял, как только стало известно об инциденте и миллионах «обманутых вкладчиков». Вместо этого компанию ждали многомиллионные судебные иски, аудит и отставка главы компании Ноэля Байдермана.

Инцидент полностью изменил бренд Ashley Madison: по прошествии года с утечки Ashley Madison пришлось обновить свой продукт и даже провести полный ребрендинг. Теперь слоган компании, ранее звучавший как «Жизнь коротка. Заведи интрижку», превратился в «Жизнь коротка. Насладись мгновением». Сервис предпочел откреститься от имиджа «сайта для женатых», стал позиционировать себя как «место для поиска настоящих конфиденциальных отношений между взрослыми людьми без предубеждений».

Разводы, порицание, безысходность: последствия для личной жизни пользователей

В то время как Avid Life Media боролась с последствиями утечки, в отчаянии предлагая награду в $500 тысяч за любые сведения о хакерах, пользователи готовились к непростым временам. В течение первых недель после инцидента отдел пользовательской поддержки Avid Life Media перестал отвечать на тысячи панических запросов и перешел в режим радиомолчания — жертвы остались наедине со своей проблемой.

Бесчисленное количество браков было под угрозой распада, пострадавшие боялись открыться своим женам (или мужьям, в тех редких случаях, когда пользователями Ashley Madison все-таки были женщины), принимали непростые и иногда трагические решения. СМИ докладывали о нескольких попытках самоубийства.

В Сети тем временем ратующие за мораль читатели не уставали стыдить «изменников» и «подлецов», нечасто проявляя сочувствие. Австралийский радиоведущий в прямом эфире сообщил позвонившей слушательнице, что ее муж зарегистрирован на Ashley Madison, а одна из газет в США решила напечатать данные всех жителей штата, изменявших своим партнерам на Ashley Madison.

Последствия взлома Ashley Madison: спам, самоубийства и награда в полмиллиона долларов за сведения о взломщиках — https://t.co/c6vOhqH6kR

— Kaspersky Lab (@Kaspersky_ru) August 25, 2015

Перспектива раскрытия факта измены и публикации интимных фото и сексуальных пристрастий также коснулась тысяч военнослужащих, священнослужителей, знаменитостей, публичных персон и политиков, несущих огромные репутационные риски.

В СМИ поступали сведения о том, что многие представители армии или обладатели государственных должностей регистрировались на сайте с указанием рабочей почты. Несмотря на то что эти сведения не всегда подтверждались, слухи бросили тень на различные учреждения, вплоть до офиса премьер-министра Великобритании.

Шантаж, спам, фишинг: последствия взлома с точки зрения информационной безопасности

Злоумышленники, стоявшие за взломом, отличались от обычных хакерских группировок, промышляющих кражей и перепродажей данных. Но каковы бы ни были мотивы Impact Team, другие киберпреступники не преминули воспользоваться ситуацией.

Прежде всего над пострадавшими нависла угроза мошеннических операций с кредитными картами: хотя пользователи «шифровались» и регистрировали аккаунты под псевдонимами, они использовали реальные имена, адреса и номера кредитных карт для оплаты услуг и дополнительных возможностей. Хотя слитая база данных вроде бы не содержала полных номеров кредиток, в некоторых случаях четырех последних цифр было достаточно, чтобы восстановить номер. С помощью этих данных злоумышленники могли украсть у жертв деньги или совершить покупки за их счет.

Хакерам удалось восстановить 11 млн. паролей из зашифрованных данных, утекших с серверов сайта Ashley Madison: https://t.co/muDWGusTrZ

— Kaspersky Lab (@Kaspersky_ru) September 11, 2015

Махинации с кредитками в случае с Ashley Madison не были единственным способом обогащения киберпреступников. Завладев личными данными, злоумышленники связывались с жертвами и угрожали рассказать семьям и работодателям об их «интрижках» или показать инкриминирующие фото и переписку друзьям с Facebook или коллегам с LinkedIn. Пытаясь скрыть порочащие их сведения, жертвы были готовы заплатить выкуп, но никаких гарантий того, что вымогатели не исполнят свои угрозы, у них не было, равно как и желания заявить на шантажистов в полицию.

Такие операции проворачивают до сих пор. Один из читателей газеты New Jersey недавно поделился историей из жизни при условии сохранения анонимности. «Мистер Смит» развелся с женой и зарегистрировался на Ashley Madison под своим настоящим именем и номером кредитной карты. Позднее ему пришло письмо от шантажистов, заявивших, что в их руках находятся его личная переписка с Ashley Madison, банковские данные и много чего еще.

«У нас есть доступ к вашей странице в Facebook. Если вы не хотите, чтобы всю эту грязь увидели ваши друзья, члены семьи и супруга, заплатите мне 5 биткойнов (почти $3300)… У вас 24 часа, — говорилось в письме злоумышленников. — Вспомните, как дорого стоят услуги адвоката по разводу. Если вы больше не состоите в долгосрочных отношениях, подумайте, как на эти новости отреагируют ваши друзья».

Так как герой этой истории не считает, что он совершил что-либо предосудительное, «мистер Смит» решил поделиться информацией с миром и отказался платить шантажистам. Как этот вопрос решали другие жертвы, известно только им и мошенникам.

Blackmail is very bad! BBC News — Ashley Madison hack victims receive blackmail letters https://t.co/o2qlevblQI

— CUChange (@ChangeCU) July 21, 2016

Как только крупные СМИ подхватили известия о взломе «сайта для изменников», жены по всему миру обеспокоились не меньше самих любителей адюльтера. Желание «обманутых» сторон узнать правду об измене, а также стремление «обманщиков» проверить, попали ли они «под раздачу», спровоцировало интерес к сайтам, предлагавшим платный поиск по утекшей базе данных пользователей Ashley Madison.

У создателей этих сайтов были разные цели. Учитывая повышенный интерес к утечке, желающие узнать правду из подобных «поисковых систем» рисковали стать жертвами спамерских и фишинговых атак. Мошенники легко могли создать такой сайт-однодневку, чтобы собрать реальные почтовые адреса для фишинга и другого мошенничества. Когда человек вводил в поисковую строку реальный email своего супруга или супруги, адрес тут же попадал к неизвестным «благожелателям», способным использовать полученные данные для спам-рассылок.

Уроки на будущее

После взлома Ashley Madison прошел ровно год, и за это время мы неоднократно слышали о крупных утечках и их последствиях. Однако взлом Ashley Madison затронул что-то более личное, глубокое и важное, чем номера кредитных карт или пароли: истории, абсолютно не предназначенные для чужих глаз, стали достоянием общественности.

Некоторые утечки оказывают долгосрочный эффект как на сам сервис, так и на жизнь его пользователей. Например, можно только представить, какую опасность может представлять условный инструмент, сопоставляющий данные утечки из Ashley Madison и информацию, скомпрометированную в результате другого масштабного происшествия — взлома United States Office of Personnel Management. Утечка из кадровой службы американского правительства поставила под угрозу персональную информацию тысяч госслужащих США, включая тех, кто имел доступ к засекреченной информации.

Пользователи Ashley Madison до сих пор страдают от мошенников

Tweet

В данный момент известно о трех громких судебных исках, поданных против Avid Life Media, но последовавшие за разоблачением тихие бракоразводные процессы не привлекли общественного внимания. Миллионы пользователей до сих пор рискуют не только данными, но и семейными отношениями и продолжают жить в страхе быть раскрытыми. Даже сама компания Avid Life Media, подававшая большие надежды до середины 2015 года, была вынуждена сменить вектор своего развития и будет справляться с последствиями утечки еще несколько лет.

Стоит ли использовать сервисы, открыто призывающие к адюльтеру или знакомствам «на одну ночь», — личное дело каждого. Но, как и всегда, мы вынуждены предупредить тех, кто выбирает этот путь. И холостые, и состоящие в браке любители тайных онлайн-знакомств или виртуального секса рискуют больше всех других пользователей Интернета — не только своими данными, но и репутацией. А серьезность угрозы развязывает руки преступникам, применяющим особо грязные техники вроде шантажа и вымогательства.

Несколько советов тем, кто ходит на сайты знакомств, всякие шопы и прочие интересные места: https://t.co/ZQJPqttM14 pic.twitter.com/BzZe05eFlN

— Kaspersky Lab (@Kaspersky_ru) September 3, 2015

Если вы все-таки приняли решение окунуться в мир онлайн-интрижек, помните о базовых мерах безопасности, которые помогут снизить ущерб от возможной утечки:

• Сайты знакомств, а также ресурсы, связанные с продажей секс-товаров, обычно слабо защищены, и поэтому пользователи должны сами позаботиться о своей безопасности. Старайтесь оплачивать услуги при помощи наличных или подарочных сертификатов, а также не указывайте в профиле реальный адрес.

• Не обменивайтесь интимными фото, даже если ваш собеседник (собеседница) настаивает на этом. В онлайн-мире никто не застрахован от утечки, поэтому рассматривайте самые худшие варианты развития событий и возможные последствия.

• Не используйте для регистрации рабочий email-адрес. Определив место работы, хакеры могут использовать утечку как повод для шантажа под угрозой раскрытия интимной информации работодателю или для атак с применением средств социальной инженерии.

• Основной email тоже лучше приберечь для общения с друзьями и управления учетными записями в Facebook или «ВКонтакте». Вместо этого заведите запасной email — просто на всякий случай.

Драгоценная почта: почему некоторые аккаунты надо беречь как следует — http://t.co/sez77YVlJF

— Kaspersky Lab (@Kaspersky_ru) October 6, 2014

• Если вы хотите добиться максимальной конфиденциальности, не регистрируйтесь под реальным именем и, конечно же, не используйте для авторизации аккаунты соцсетей — этим вы многократно повышаете риск оказаться жертвой мошенничества или шантажа.

• Если вы все-таки стали жертвой утечки, не ведитесь на уловки «доброжелателей», предлагающих найти ваши данные при помощи специального сайта, — вас могут обманывать. Для безопасного поиска сведений о скомпрометированных данных можно воспользоваться ресурсом HaveIBeenPwned? «белого хакера» Троя Ханта.

• Если ваши данные были скомпрометированы, позаботьтесь о смене паролей к другим онлайн-ресурсам — хакеры знают о такой вредной привычке, как повторное использование паролей. Если вы этого не сделаете, они могут взломать ваши аккаунты в Facebook и LinkedIn или, хуже того, вашу почту. Не помешает и блокировка кредитной карты с последующим перевыпуском.

• И, главное, постарайтесь всегда вести переписку так, как будто взлом может произойти когда угодно, — к сожалению, в мире информационной безопасности вопрос утечки — не «если», а «когда».

На сайте знакомств Ashley Madison работала армия женщин-ботов / Habr

Журналист и аналитик Фонда электронных рубежей Аннели Ньювиц (Annalee Newitz) продолжает изучение исходников сайта знакомств Ashley Madison, которые попали в открытый доступ в августе 2015 года (официальный пост от хакеров из Impact Team со ссылкой на торрент в дарквебе).

В прошлый раз Аннели изучила базу данных, в которой были колонки с названиями “bc_email_last_time,” “bc_chat_last_time” и “email_reply_last_time” — с указанием даты и времени для каждого пользователя. Сначала Аннели и другие специалисты решили, что таблицы содержат информацию о времени последней активности пользователя на сайте. При этом в ячейках было указано недавнее время преимущественно для мужчин, и очень редко для женщин.

На основании этого был сделан вывод, что на сайте присутствует всего 12 000 активных пользователей-женщин и десятки миллионов мужчин. Это оказалось ошибкой. Реальность оказалась куда более куда более интересной. Как выяснилось в ходе дальнейшего анализа исходников, колонки “bc_email_last_time,” “bc_chat_last_time” и “email_reply_last_time” соответствуют не дате и времени последней активности юзера, а дате и времени, когда с ним последний раз контактировал чатбот.


Вот статистика по контактам чатботов, которую раньше ошибочно считали статистикой активных пользователей, для мужчин и женщин. На первой диаграмме показано количество последних отправленных писем. На второй диаграмме — количество последних чатов.

Как видим, 11 миллионов несчастных мужчин вступали в чат с женщинами-ботами.

В конце концов, вот статистика по количеству чатботов в базе.

Большинство ботов снабжались почтовыми адресами @ashleymadison.com и регистрировались с одних и тех же IP-адресов.

С помощью программы grep журналистка нашла участки кода, где программисты Ashley Madison в комментариях упоминали чатботов, используя термины вроде  hosts  и  engagers .

Судя по комментариям в коде, разработчики позаботились, чтобы женщины-боты появлялись в каждом географическом регионе, где есть одинокие пользователи, а конечной задачей бота после рождения было найти себе мужчину.

Алгоритм действий чатботов пытался учесть разные ситуации, в том числе нестандартные. Например, вот один из комментариев к функции блокировки чата:

// Stopped engaging gaymen

Чатботы не отличались особым интеллектом. Ещё один фрагмент кода содержит полный список фраз, которые использовались для первого контакта с мужчиной. Фраза выбиралась из списка случайным образом. Повторения в списке, вероятно, объясняются желанием увеличить частоту некоторых фраз в общении.

‘hi’,

‘hi’,

‘hi’,

‘hi (s)‘,

‘hi there’,

‘how are you?’,

‘hey’,

‘Hey’,

‘hey there’,

‘hey there’,

‘Hey there’,

‘u busy?’,

‘you there?’,

‘any body home?’,

‘Hi’,

‘Hi’,

‘Hi’,

‘hows it going?’,

‘chat?’,

‘how r u?’,

‘anybody home? lol’,

‘hello’,

‘hello’,

‘Hello’,

‘hello?’,

‘whats up?’,

‘so what brings you here?’,

‘oh hello’,

‘free to chat??’,

В случае положительного ответа чатбот отвечал более содержательным сообщением, например:

«Hmmmm, when I was younger I used to sleep with my friend’s boyfriends. I guess old habits die hard although I could never sleep with their husbands».

или

«I’m sexy, discreet, and always up for kinky chat. Would also meet up in person if we get to know each other and think there might be a good connection. Does this sound intriguing?»

Для общения с владельцами платных аккаунтов работал отдельный бот-сервис «RunChatBotXmppGuarentee.service.php».

В одном из писем между исполнительным директором компании и главным операционным директором найден график с прибылью, которую генерируют чатботы. Видно, как в течение года после отключения ботов на территории Канады в 2011-2012 гг доходы сайта заметно снизились.

У руководства были идеи нанимать реальных женщин вместо чатботов. Один из разработчиков Ashley Madison разработал систему вознаграждения для наёмных сотрудниц (значение “FemaleValue”). Вознаграждение женщины зависит от суммы, которую перечислили сайту обслуживаемые ею мужчины (“MaleProfit”). Правда, систему так и не успели внедрить в продакшн.

В другом комментарии разработчик отметил, что с новыми настройками «южноафриканские боты могут вступать в контакт только с представителями своей расы».

Ashley Madison активно работала над локализацией ботов для разных стран. Например, после референдума в Крыму местные чатботы перешли с украинского на русский язык.

У Ashley Madison все хорошо, даже женщины на сайте существуют — «Хакер»

Представители Ashley Madison уверяют, что у сервиса все хорошо, невзирая на громкий скандал, утечку данных 32 млн человек и увольнение основателя и CEO компании. В Ashley Madison считают, что все это временные, преодолимые трудности, и никто не планирует закрывать бизнес (как того требовали хакеры). Компания сообщила, что только за последнюю неделю сайт знакомств привлек «сотни тысяч» новых пользователей, в том числе 87 596 женщин. Обнародовав последнюю цифру, компания пытается опровергнуть обвинения в том, что настоящих женщин на Ashley Madison практически нет.

Обвинения в отсутствии живых женщин на сайте прозвучали после публикации исследования, проведенного Аннали Ньюлиц (Annalee Newlitz). Редактор Gizmodo и аналитик Фонда электронных рубежей проанализировала опубликованные The Impact Team данные и сделала вывод, что настоящих женщин на Ashley Madison были единицы. Ниже приведена статистика, собранная Ньюлиц:

5 550 678 аккаунтов якобы принадлежат женщинами и 31 343 428 аккаунтов принадлежат мужчинам.

1492 женщины реально открывали сообщения на сайте и проявляли хоть какую-то активность. У мужчин этот показатель равен 20 269 657.

2409 женщин пользовались чатом. И 11 030 920 мужчин.

Однако, продолжая свои исследования, Ньюлиц пришла к выводу, что все даже интереснее, чем показалось на первый взгляд. Параметры «bc_email_last_time», «bc_chat_last_time» и «email_reply_last_time» оказались связаны не с активностью пользователей, как было предположено изначально. Эти параметры содержат дату и время последнего контакта с ботом!

Проблема Ashley Madison не в отсутствии женщин, а в огромном количестве ботов. Ньюлиц скорректировала статистику и получила следующий результат по количеству ботов на сайте:

Общее количество ботов на сайтеЧаты с ботамиСообщения от ботов

Множество аккаунтов также были зарегистрированы на почту вида [email protected], с одних и тех же IP-адресов, в том числе 80 805 аккаунта зарегистрированы с IP-адреса 127.0.0.1, то есть, скорее всего, созданы сотрудниками Ashley Madison.

Тем не менее, компания Avid Life Media, которой принадлежит «сайт для измен», не унывает. 31 августа 2015 года представители Ashley Madison выпустили пресс-релиз, в котором пишут:

«Последние сообщения СМИ предрекают Ashley Madison скорую и неизбежную смерть, однако это сильные преувеличения. Компания продолжает свою работу, даже если нам приходится иметь дело с кражей данных преступниками. Невзирая на то, что наш бизнес и наши пользователи оказались под атакой, мы растем. За одну только прошлую неделю на Ashley Madison зарегистрировались сотни тысяч новых пользователей. В том числе 87 596 женщин.

Некоторые журналисты смещают фокус с преступления, совершенного против Ashley Madison, и вместо хакеров нападают на нас самих. Так на прошлой неделе один журналист проанализировал украденные данные и сделал неверные выводы о значении некоторых полей в базах. Этот журналист заключил, что может подсчитать число активных пользователей-женщин на Ashley Madison, основываясь на своих неверных догадках. Это заключение ошибочно.

За одну только прошлую неделю женщины отправили более 2,8 млн сообщений, использую нашу платформу. Более того, в первой половине 2015 года соотношение мужчин, которые платят нашему сервису за общение с женщинами, активно использующими свои аккаунты (женщины-пользователи не должны платить за общение с мужчинами на Ashley Madison), составляло 1,2 к 1. Эти простые цифры хорошо показывают, почему Ashley Madison – это сайт номер один для поиска отношений на стороне».

Фото: nbcnews

Кейс Эшли Мэдисон.: shmandercheizer — LiveJournal

      Случай AshleyMadison.com – одно из наиболее громких событий вокруг соцсетей за последние 10 лет. Он интересен как своими масштабами, так и последствиями. Скандал по поводу этого сайта знакомств также можно рассматривать как яркий случай доксинга – публикации в Сети персональной информации, полученной из открытых ресурсов или с помощью хакерского взлома.
      Кратко перескажу суть происшествия, поскольку отечественные сетевые СМИ уделили ему довольно мало внимания. В июле 2015 года хакерская группа Impact Team заявила о взломе известного сайта знакомств для женатых мужчин и женщин. Группа потребовала от владельца (канадской компании Avid Life Media) закрыть два сайта, угрожая в противном случае опубликовать персональные данные пользователей сайта. Объектами атаки стал портал AshleyMadison.com и дочерний сайт Established Men. Первый недвусмысленно предлагал своим пользователем легко и быстро завести связь на стороне (характерный слоган, запатентованный на нескольких языках: «Жизнь коротка. Заведи интрижку»). Второй в эвфемистичной манере обещал связать обеспеченных мужчин с молодыми и красивыми девушками для «стиля жизни, который им нужен». Любопытно сразу отметить, что никаких претензий хакеры не выдвигали в отношении второй «дочки» Эшли Мэдисон – сайта Cougar Life, рассчитанном на встречи разведенных и одиноких женщин в возрасте с молодыми юношами (женщины на этом сайте именуются пантерами, а юноши – жеребцами).

      Суть претензий оказалась двоякой. С одной стороны, неизвестные обвинили данные сайты в потакании сомнительному с точки зрения морали поведению. Однако с другой стороны, не меньшее негодование вызывало то, что ALM ведут по сути мошеннический бизнес, так как сайт не мог обеспечить уровень безопасности, который обещал, а также обманывал своих пользователей во многом другом (о чем будет далее). Компания, заработавшая на Эшли Мэдисон только в прошлом году более 100 миллионов, решила требования проигнорировать, и в августе в свободный доступ попала база данных на 32 миллиона пользователей, содержащая адреса почты, сексуальные предпочтения, историю платежей и другую конфиденциальную информацию. Спустя некоторое время в Сети появилось также интервью с группой Impact Team (данное сайту Motherboard), а затем еще два больших дамп-файла, содержащих информацию не только о пользователях (включая их IP-адреса), но и о работниках ALM (например, их переписка).

      Итак, что же интересного предлагает нам этот случай? Для удобства я разделю свою аналитику на три блока.

Что мы узнали о людях, благодаря Ashley Madison?

    О чем нам могут рассказать 32 миллиона аккаунтов, созданных за последние 7 лет на платном сайте, обещающем легкую измену? Как ни странно, о многом.
      Любой, кто немного понимает разницу в психологии полов справедливо бы предположил, что на сайте преобладали мужчины, но реальные цифры удивили всех. Среди настоящих аккаунтов оказалось 90-95% принадлежащих мужчинам. В первую очередь это говорит о том, что весь бизнес Эшли Мэдисон строился на обмане, в т.ч. на фэйках женских аккаунтов (вскоре после скандала нашлись и те, кто непосредственно этим занимался по заказу компании). Несложно прикинуть каков бы реальный шанс найти интрижку на этом сайте. Но поскольку бэкграундом нашей культуры остается христианство, то это мало что меняет. Обращаясь к тем, кого затронула эта история участники Impact Team очень тонко акцентируют условность различия между фактом измены и намерением: «Возможно, что ваш мужчина имел аккаунт на крупнейшем мировом сайте для измен, но не изменял вам. Он просто попытался. Если это различие имеет значение».
      Интересно было бы провести анализ возрастной и профессиональной принадлежности этих мужчин (все-таки не все делают это через сайт). Пока же можно отметить две вещи. Во-первых, это мужчины, которые купились на слоган «Жизнь коротка. Заведи интрижку». В данном слогане есть что-то от шантажа (твое время на исходе, не думай – паникуй и действуй как тебе говорят) и одновременно ключ к самооправданию (один раз живем). Во-вторых, это в значительной части мужчины, которые плохо понимают женщин. Я думаю, большинство этих людей – самовлюбленные эгоисты, которые и не пытались понять своих партнерш. Попытка обеспечить себе свидание по быстрому свидетельствует о непонимании того, чем и как можно заинтересовать женщину, поэтому они и надеются что за плату все за них сделает сайт. Например, по словам Impact Team около трети картинок из внутренних сообщений на Эшли Мэдисон – это фотографии членов. Это попытка недалекого ума воспользоваться аналогией: мол, если мне женщина покажет себя обнаженной – это означает, что она меня хочет, значит, если я сделаю то же самое, это произведет аналогичный эффект на женщину (нет, не произведет: в лучшем случае – предстанете идиотом, в худшем – перед судом за харассмент). Но чем они действительно не думали, так это о том, что придется пережить их женам/мужьям при публичном разоблачении. Эта мысль очевидно успешно вытеснялась, учитывая тот факт, что за полгода до этого подобный скандал произошел с сайтом AdultFriendFinder.com (тогда в сеть утекли данные на 4 миллиона пользователей).

      Еще одним поводом к шумихе вокруг Эшли Мэдисон оказались 15 тысяч аккаунтов с почтой в доменах .mil и .gov (домены управления американской армии и правительства). Для США подобные факты довольно скандальны, т.к. сразу бьют по двум темам – вопросу профессионализма управляющих и дежурной озабоченности «куда идут деньги налогоплательщиков». В отличие от фейковых аккаунтов известных людей (например, Тони Блэра) Агентству Associated Press не составило труда опознать по почте и IP многих высокопоставленных чиновников: среди них есть работники Конгресса, Белого дома, Департамента Юстиции и Департамента Национальной безопасности. Кроме того, супружеская измена является нарушением армейского регламента и для некоторых может быть чревата наказанием до года тюремного заключения с лишением наград. Как и в случае с обычными пользователями, данные о публичных людях дают возможность для их шантажа.

Что мы узнали о бизнесе, благодаря Ashley Madison?

    В отличие от обычных соцсетей, где основной доход дают реклама и таргетинг, AshleyMadison.com приносил прибыль за счет платной системы любых действий на сайте. Чтобы читать/писать сообщения, вступать в чат пользователи должны были приобрести кредиты (цена пакета от 49 до 250 долларов). Даже за полное удаление анкеты нужно заплатить 19 долларов. Меж тем количество пользователей недвусмысленно свидетельствует о том, что продвижение у сайта было весьма эффективным. При 40 миллионах пользователей в 2014 году сайт принес 115 миллионов прибыли (что на 45% выше чем в предыдущем году). Однако в свете открывшихся фактов все это выглядит как откровенное мошенничество. Преобладание мужчин и женские фэйки – лишь часть обмана. По сведениям Impact Team только на услуге удаления информации компания поимела 1,7 миллионов долларов, однако свое обещание так и не исполнила: вся информация об этих аккаунтах сохранялась на бэкэнд-серверах. Еще большим надувательством звучит также и заявление технического директора ALM Тревора Стокса о том, что главным фактором успеха сайта оказалась защита персональной информации.screen-shot-2015-02-26-at-1-00-45-pm.png
      Именно это позволяет хакерам выступать в качестве защитников потребителей и поборников добросовестных правил бизнеса. В уже упомянутом интервью они сообщают, что довольно долго тайно присутствовали на сайтах. Одна из причин перейти к действиям была в том, что компания продолжала наращивать количество клиентов, абсолютно не заботясь об их безопасности. Действительно любая другая хакерская компания могла бы начать шантажировать пользователей, получив легкий доступ к конфиденциальной информации. «Мы сделали это, чтобы не допустить появления следующих 60 миллионов пользователей. Avid Life Media похожи на торговцев наркотиками, которые злоупотребляют зависимыми людьми». Деятельность сайта Established Men они также сравнивали с проституцией и торговлей людьми. Даже если это и преувеличение, нельзя не признать, что с моральными границами у высшего звена компании были явные сложности. Например, как свидетельствуют данные переписки компания разрабатывала мобильное приложение для оценки чужих жен.

      Impact Team отказались от принятия ответственности за все последствия доксинга. В обращении к пользователям Эшли Мэдисон в частности было следующее: «Нашел себя тут? Люди из ALM подставили тебя. Они лгали тебе. Подавай в суд на них и требуй возмещения убытков. Потом вернись к своей жизни. Учти уроки и измени то, что надо изменить. Это нелегко, но ты справишься». Конечно, некоторые любители адюльтера получили свой урок, но еще больший урок был преподан IT-индустрии. Этот случай может оказаться одним из сильнейших ударов по интернет-бизнесу со времен краха доткомов. Дело в том, что на фоне финансовых успехов Эшли Мэдисон и ее дочек компания ALM собиралась осенью выйти на IPO на Лондонской бирже (это бы принесло компании по предварительным оценкам около 200 миллионов долларов). Скандал подрывающий репутацию фирмы, который происходит всего за несколько месяцев до публичного размещения акций – уже не кажется случайностью. Многие даже строят на сей счет конспирологические гипотезы. По версии же самой компании хакеры сделали это потому что могли и потому что видели в этом злую шутку (доксинг и правда зародился на форумах, вроде 4chan, чисто «ради лулзов»). Также служба безопасности ALM предполагает, что злоумышленникам помогал кто-то из сотрудников компании.

      Последнее на мой взгляд ближе всего к сути проблемы. Вряд ли мы здесь имеем дело с каким-то моральным фундаментализмом. Точно так же кажется искусственной версия о том, что это было сделано ради шутки или ради прямой выгоды (тогда был бы шантаж). Я предложу свою довольно вольную гипотезу: все произошедшее очень похоже на месть. В этом свете не лишено смысла заявление о том, что кто-то из сотрудников замешан. Точно также и удар перед IPO предстает рассчитанным адресным сообщением. Как однажды заметил Бэнкси у человека есть четыре основных потребности: «еда, сон, секс и месть». Корпорации сами плодят десятки и сотни обиженных людей. Причем психологически достоверным кажется и то, что у человека, проработавшего в сфере выкачивания денег на теме потворства адюльтеру, немного больше причин испытывать сильнейшее неприятие к аморальности данного предприятия. Так что мне представляется наиболее вероятным то, что к взлому причастна группа, состоящая из тех, кто имел личные мотивы и тех, кто обладал нужными знаниями. Явный антикорпоративный посыл содержит и обещание Impact Team продолжать работу в этом направлении. В качестве будущих целей они упомянули не только сайты, но и «любые компании, которые делают сотни миллионов прибыли на боли других, на секретах и лжи». Возможно это будут и коррумпированные политики.

      Попытки ALM замять скандал, в т.ч. отправляя жалобы в Твиттер и Фейсбук на посты, содержащие информацию с сайта, результата не дали. В данный момент к поиску хакеров подключены не только официальные органы, но и добровольцы, которым обещана награда в 500 тысяч долларов (за информацию, которая поможет в поимке). Однако вне зависимости от того, поймают их или нет, можно определенно констатировать, что в ближайшее время доверие ценным бумагам интернет-компаний упадет, а предварительные оценки аналитиков перед IPO станут еще более жесткими. Впрочем, дураков, готовых нести свои деньги, купившись на яркий маркетинг, все еще предостаточно.

Что мы узнали о современном обществе, благодаря Ashley Madison?

    Как это ни странно, но скандал вокруг Эшли Мэдисон подтверждает многократно высказанную идею о том, что скандала (в старомодном смысле слова) больше не существует. На деле одинаково удручают и гиперболизированная реакция ханжей, и попытки обосновать запланированное устаревание морали. С одной стороны, доксинг ставит нас лицом к лицу с тем, что по большей части грехи современного человека унылы и обычны: порнография и мастурбация, адюльтер и быстрый секс, мелкие подлости и невинные шалости в реальности и Сети. С другой стороны, люди нуждаются в осуждении некоторых явлений (в т.ч. и повседневных) – это поддерживает некоторые границы, спасающие от еще большей невротизации.

Взломан сайт знакомств Ashley Madison, хакеры угрожают опубликовать данные 37 млн человек

Весьма популярный за океаном сайт знакомств Ashley Madison ориентирован на уже состоящих в отношениях людей, которые ищут романа на стороне. Сайт неоднократно подвергался критике за провокационные рекламные кампании и слоганы вроде: «Жизнь коротка. Заведи интрижку». Теперь он подвергся и необычной атаке хакеров, называющих себя The Impact Team. Хакеры шантажируют руководство Ashley Madison, требуя полностью закрыть сайт. В противном случае Impact Team грозят опубликовать данные о 37 млн пользователей «сайта для измен», которые были украдены в ходе атаки. На руках Impact Team оказались фото сексуального характера, откровенные переписки, псевдонимы, реальные имена и даже платежные реквизиты пользователей Ashley Madison.

Канадская компания Avid Life Media, которой принадлежит ресурс Ashley Madison, также владеет двумя похожими сайтами — Cougar Life и Established Men. Хакеры из Impact Team требуют полного закрытия Ashley Madison и мужского ресурса Established Men. Странно, но сайт для женской аудитории — Cougar Life шантажисты обошли вниманием.

Impact Team уверяют, что требуют не невозможного. Хакеры понимают, что полная остановка такого масштабного бизнеса займет время и приведет к огромным финансовым потерям, но если в открытом доступе действительно окажется абсолютно вся подноготная 37 миллионов изменщиков и изменниц, компании Avid Life Media придется еще хуже. Издание The Wall Street Journal отмечает, что Avid Life Media как раз собиралась провести IPO этим летом, планируя привлечь около $200 миллионов.

Одним из первых о происходящем сообщил Брайан Кребс. Он же рассказал о том, что Impact Team настроены серьезно и в качестве доказательства своих намерений уже опубликовали небольшой процент украденных данных. Хакеры не блефуют, у них действительно есть компрометирующие фото, логи чатов и другая информация о посетителях Ashley Madison. Информацию о взломе и утечке данных официально подтвердил и CEO Avid Life Media Ноель Бидерман (Noel Biderman).

Чем хакерам так насолил сайт знакомств, можно только предполагать, причиной может являться хотя бы его необычная направленность. Однако многие эксперты предполагают, что атака спровоцирована не только этим, но и функцией Full Delete, которую Ashley Madison предлагает своим пользователям. Дело в том, что ресурс позиционировался как в высшей степени конфиденциальный (что совсем неудивительно), но удалить оттуда свои данные можно было лишь заплатив $19, то есть воспользовавшись вышеозначенной, платной услугой полного удаления личных данных с серверов компании. Impact Team утверждают, что функция Full Delete – обман, и пользовательские данные не удалялись вовсе, зато компания Avid Life Media заработала на этом надувательстве $1,7 млн. Информацию о фейковости опции Full Delete Ноель Бидерман, впрочем, категорически отрицает.

Часть опубликованного хакерами ультиматума

Avid Life Media уже инициировала внутреннее расследование инцидента и привлекла к нему лучших ИБ специалистов и криминалистов. Говорить о каких-либо результатах, однако, пока рано. Основная версия случившегося, по словам представителей компании, проста —   атака совершена с поддержкой изнутри. Возможно, виноват даже не сотрудник Avid Life Media, но кто-то имевший непосредственный и близкий доступ к технической стороне бизнеса Avid Life Media. Эта версия имеет смысл, потому как ультиматум Impact Team, к примеру, содержит извинения перед Марком Стилом (Mark Steele) — шефом безопасности ресурса. Хакеры явно знали, что делают.

Фото: krebsonsecurity.com

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *