Rok temu byliśmy świadkami ogromnego wycieku danych, który w znacznym stopniu wpłynął na życie użytkowników zarejestrowanych w Ashley Madison — serwisie randkowym dla mężów i żon, i niemal zabił kwitnący, choć kontrowersyjny biznes.
Hakerzy, którzy upatrzyli sobie za cel serwis Ashley Madison, to nieznana wcześniej grupa przedstawiająca się jako Impact Team. Upublicznili oni ponad 37 milionów rekordów użytkowników z 40 krajów, jak również kod źródłowy strony i wewnętrzną korespondencję firmy na szczeblu zarządu. Z powodu natury strony — użytkownikami byli ludzie po ślubie poszukujący innych ludzi po ślubie do celów rozrywki pozamałżeńskiej — wydarzenie to dramatycznie zmieniło życie wielu osób, a cyberprzestępcy mogli wykorzystać szeroki wachlarz możliwości szantażu.
Na własne życzenie
Zazwyczaj hakerzy kradną dane, aby sprzedać je na czarnym rynku (w Darkwebie), lecz oszustom stojącym za włamaniem do serwisu Ashley Madison nie chodziło o pieniądze, ale o sprawiedliwość.
Na początku grupa Impact Team wysłała do zarządu firmy Avid Life Media (jednostki dominującej Ashley Madison) informację, z której wynikało, że doszło do zhakowania infrastruktury firmowej, a w ramach żądań miały zostać zdjęte trzy inne portale randkowe, będące własnością spółki. W przeciwnym razie miały zostać upublicznione dane klientów. Firma odmówiła, a 30 dni później szantażyści spełnili swoją groźbę.
Sytuacja ta wywołała panikę wśród użytkowników portalu, którzy obawiali się wycieku nie tyle danych ich kart kredytowych, co samego faktu romansu i zdjęć prywatnych. Tymczasem do gry weszli eksperci, którzy przeanalizowali kod źródłowy strony, szybko odkrywając w nim wiele ciekawych faktów.
Po pierwsze, kod źródłowy strony Ashley Madison zawierał wiele błędów, które umożliwiły hakerom obejście infrastruktury strony tuż po znalezieniu punktu wejścia. Po drugie, według analiz strona miała słabe wymagania co do haseł: musiały składać się z 5 do 8 znaków i mogły zawierać tylko dwa rodzaje znaków.
Avid Life Media i jej klienci musieli ponieść konsekwencje wycieku na dużą skalę — który z powodu natury serwisu Ashley Madison był znacznie dotkliwszy niż to bywa w przypadku innych popularnych serwisów.
Straty firmowe: plama na reputacji, złamane marzenia
Ogólnie reakcja opinii publicznej na wyciek przypominała trudne do powstrzymania chichotanie. Wielu twierdziło, że taka była karma firmy – w końcu firma Avid Life Media została zbudowana na niewierności i kłamstwach. Po wycieku danych zawierających m.in. poufne dane firmy badacze zaczęli je analizować, co doprowadzało użytkowników portalu do szaleństwa.
W toku badania okazało się, że obietnica firmy Ashley Madison, na której zbudowała bazę dziesiątek milionów klientów, była czystym kłamstwem. Oprócz zapowiedzi zapewniania dyskrecji Ashley Madison aktywnie reklamował swoją opcję „całkowitego usuwania danych”, czyli możliwość wykupienia przez użytkowników całkowitego i stałego usunięcia ich profilu za 19 dolarów. Na tej możliwości serwis Ashley Madison zarabiał ponad 1,7 milionów rocznie.
Jednak serwis usuwał tylko dane profilowe, a dane płatności przechowywał w pliku, przez co wciąż był w posiadaniu prawdziwych imion, nazwisk, adresów i danych kart kredytowych klientów. Oznacza to, że nawet jeśli ktoś zarejestrował się przy użyciu pseudonimu, w systemie i tak umieszczane było prawdziwe imię i nazwisko tej osoby.
Kolejne fakty są jeszcze ciekawsze: większość kobiet pojawiających się w portalu Ashley Madison była tak naprawdę botami, a ich zadaniem było zwabienie nowych użytkowników w celu rozmowy i zachęcenie ich do zapłaty w celu jej kontynuowania. Czatboty nie były problemem, wręcz przeciwnie — były tam umieszczone celowo, a za nimi stała cała sterta kodu. Co więcej, boty te brały pod uwagę nawet preferencje klientów: niektóre na przykład udawały kobiety z tej samej grupy etnicznej.
Ostatecznie okazało się, że firma Avid Life Media była bezbronna, jeśli chodzi o nieznanych i bezlitosnych hakerów, za co musiała słono zapłacić. Na zaledwie kilka miesięcy po incydencie firma miała zaplanowaną pierwszą ofertę publiczną IPO, ale gdy rozpętało się piekło, procedura stała się niepotrzebna — szanse na wzrost początkowo zakładanych 200 milionów dolarów podczas debiutu na giełdzie zniknęły. Zamiast tego pojawiły się sprawy sądowe, audyty oraz rezygnacja dyrektora generalnego, Noela Bidermana.
Incydent zmusił Ashley Madison do całkowitej reorganizacji marki: rok po wycieku zmieniła ona swój cel i nazwę. Prowokacyjny slogan „Życie jest krótkie. Pozwól sobie na romans” zastąpiono takim, który mógłby znaleźć się na każdej innej stronie randkowej: „Żyj chwilą”. Serwis zdjął również baner zachęcający do niewierności i przedstawia się jako „najlepsze miejsce na znalezienie prawdziwych, dyskretnych relacji z pozbawionymi uprzedzeń dorosłymi”.
Konsekwencje użytkowników: rozwód, wstyd, rozpacz
Podczas gdy Avid Life Media desperacko próbowała złagodzić skutki wycieku, oferując 500 000 dolarów nagrody za każdą przydatną informację o hakerach, którzy byli zamieszani w całą sprawę, użytkownicy przygotowywali się na trudne czasy. W kolejnych tygodniach po wycieku obsługa klienta w Avid Life Media przestała reagować na wszystkie żądania, pozostawiając użytkowników samym sobie.
Niezliczona liczba małżeństw wisiała na włosku, ofiary były przerażone, że informacja dotrze do ich partnerów, co w niektórych przypadkach popchnęło ich do niełatwych, a nawet tragicznych decyzji.
Tymczasem w internecie obrońcy moralności i wierności małżeńskiej nieustannie klęli na użytkowników portalu. Pewien australijski didżej radiowy powiedział kobiecie na antenie, że jej mąż był zarejestrowany w portalu Ashley Madison, a gruzińska gazeta wydrukowała nawet wszystkie wycieknięte dane.
Czarne chmury gromadziły się nad tysiącami oficerów wojskowych, duchownych, celebrytów, polityków i innych osób publicznych. Ujawnienie takich informacji mogłoby znacząco odbić się na ich reputacji.
Niektóre media donosiły, że wielu oficerów wojskowych i pracowników agencji rządowych zapisało się do serwisu Ashley Madison przy użyciu swoich firmowych adresów e-mail. Chociaż informacja ta nie została potwierdzona, położyła się cieniem na wielu znanych instytucjach, w tym także na biurze brytyjskiego premiera.
Wymuszenia, spam, phishing
Za wyciekiem nie stali zwykli hakerzy, którym zależało na kradzieży danych w celach finansowych, jednak gdy grupa Impact Team otworzyła drzwi, inne cybergangi nie omieszkały skorzystać z okazji.
Najpierw ofiary stały się łatwymi celami oszustw związanych z kartami kredytowymi. Chociaż większość użytkowników Ashley Madison zarejestrowała się przy użyciu fałszywych danych, musieli oni odkryć swoją prawdziwą tożsamość podczas regulowania płatności. Mimo że bazy danych, które wyciekły, nie zawierały pełnych informacji związanych z kartami kredytowymi, w niektórych przypadkach przestępcom udało się uzyskać cały numer na podstawie samych czterech ostatnich cyfr. W ten sposób mogli ukraść pieniądze z kont bankowych lub robić zakupy przez internet.
W przypadku Ashley Madison oszustwa wykorzystujące karty kredytowe nie były jedynym sposobem na wykorzystanie danych użytkowników. Mając dane prywatne, szantażyści kontaktowali się z ofiarami i grozili, że poinformują o romansie ich rodziny lub pracodawców lub udostępnią bardzo osobiste zdjęcia i korespondencję ich znajomym w serwisie Facebook lub LinkedIn. W obliczu takich informacji część ofiar decydowała się na zapłacenie okupu, nie żądając nawet żadnego dowodu na to, że szantażyści zostawią ich w spokoju. Z kolei zgłaszanie sytuacji policji nie wchodziło w grę.
Podobne historie wciąż się zdarzają. Pewna osoba z New Jersey zgodziła się opisać niedawno swoją przygodę z serwisem Ashley Madison pod warunkiem zachowania anonimowości: „Pan Smith” jest rozwiedziony i postanowił zarejestrować się w omawianym portalu, wykorzystując swoje prawdziwe dane i kartę kredytową. Chwilę później otrzymał od szantażystów wiadomość, w której twierdzili, że posiadają jego prywatną korespondencję, dane bankowe itp.
Mam także dostęp do Twojej strony na Facebooku. Jeśli nie chcesz, aby te informacje zostały upublicznione wszystkim Twoim znajomym, rodzinie i małżonkowi, wyślij 5 bitcoinów (BTC) na następujący adres BTC… Masz czas 24 godziny. Pomyśl, ile kosztuje prawnik rozwodowy. Jeśli nie jesteś już zaangażowany w związek, zastanów się, jak wypadniesz w oczach rodziny i znajomych. Co oni o Tobie pomyślą…” – napisał haker w wiadomości.
Pan Smith nie uważa, że ma się czegoś wstydzić, dlatego zamiast zapłacić okup, postanowił nagłośnić sprawę. Jak postąpiłyby inne ofiary, wiedzą tylko one.
Informacje o „stronie internetowej służącej do zdrady” szybko zrodziły nowy trend. Ludzie, którzy obawiali się zdrady partnerów, poszukiwali stron oferujących dostęp do wyciekniętych danych serwisu Ashley Madison w celu sprawdzenia konkretnego adresu e-mail. Niestety cyberprzestępcy skrupulatnie to wykorzystali, tworząc wiele fałszywych stron, które pomagały im w gromadzeniu prawdziwych adresów e-mail. Wprowadzenie danych na takiej stronie stwarzało ryzyko padnięcia oszustwa.
Obdukcja
Od opisywanego wycieku minął rok, w tym czasie dowiedzieliśmy się o wielu innych wyciekach i ich konsekwencjach. Jednak włamanie do bazy Ashley Madison znacznie się od nich różni, jest o wiele bardziej osobiste i ma zupełnie inną wartość niż numer karty kredytowej czy hasło do serwisu społecznościowego. Incydent ten dotyczył spraw prywatnych, które nigdy nie wyszłyby na światło dzienne — a teraz zobaczył je cały świat.
Skutki niektórych wycieków długo odbijają się echem zarówno na serwisie, jak i użytkownikach. Wyobraźmy sobie na przykład, co by się mogło stać, gdyby jacyś złoczyńcy opracowali narzędzia do porównywania danych z wycieku Ashley Madison z danymi z innego dużego wycieku — np. ze zhakowania amerykańskiego Biura Zarządzania Personelem (Office of Personnel Management). Wyciek ten obejmował osobiste dane milionów ludzi pracujących dla rządu Stanów Zjednoczonych, włącznie z tymi, którzy mieli dostęp do informacji niejawnych.
Użytkownicy serwisu Ashley Madison wciąż są celem cyberprzestępców
Tweet
Dzisiaj wiemy o trzech bardzo nagłośnionych sprawach sądowych przeciwko Avid Life Media, lecz wiele cichych rozwodów pozostało niezauważone. Miliony ludzi wciąż żyje w strachu przed odkryciem ich niewierności. Avid Life Media, który do połowy 2015 r. był obiecującym biznesem, został zmuszony do ponownego przemyślenia strategii rozwoju. Firma musi nosić brzemię konsekwencji wycieku przez wiele kolejnych lat.
Małżeństwa i zdrada to nie nasza sprawa, są to decyzje osobiste, więc pouczanie w tym temacie nie jest naszą misją. Jesteśmy jednak w takim dziwnym położeniu, że musimy ostrzegać użytkowników, którzy decydują się na taki krok w internecie. Zarówno ci, którzy są w związku, jak i single, którzy angażują się w romans przez internet lub sexting, zwiększają swój poziom ryzyka. Stawką są ich dane osobiste oraz reputacja. Biorąc pod uwagę naturę tego rodzaju informacji prywatnych, stają się one łatwiejszym i bardziej łakomym kąskiem dla przestępców, którzy sięgają po najgorsze sztuczki — szantaż i wymuszenie.
Jeśli mimo to chcesz wypłynąć na niebezpieczne wody randkowania online, pamiętaj o kilku podstawowych zasadach, dzięki którym możesz zmniejszyć ryzyko wycieku swoich danych:
- Dbaj o własne bezpieczeństwo — nie oczekuj, że strona zrobi to za Ciebie. Spróbuj unikać płacenia kartą kredytową, zapytaj o kartę podarunkową, a w profilu podaj nieprawdziwe imię, nazwisko i adres.
- Nie wysyłaj nagich zdjęć, nawet — lub zwłaszcza — pod presją. Może i ufasz osobie, z którą masz kontakt, ale nikt nie jest w stu procentach chroniony przed wyciekiem danych, więc najlepiej jest liczyć się z najgorszym scenariuszem.
- Nigdy nie używaj firmowego adresu e-mail podczas zakładania konta. Haker może wtedy z łatwością skojarzyć Cię z pracodawcą i szantażować Cię. Co więcej, taka sytuacja mogłaby umożliwić atak socjotechniczny na firmę.
- Używaj prywatnego adresu e-mail, ale tego, którym się posługujesz jako głównym.
- Podaj fałszywe imię i nazwisko. Aby zachować maksymalną anonimowość, nie podawaj prawdziwych danych i oczywiście nie loguj się przy użyciu kont na portalach społecznościowych. Im więcej informacji posiada oszust lub szantażysta, tym skuteczniejszą może przygotować na Ciebie pułapkę.
- W przypadku wycieku nie korzystaj z ofert sprawdzania, czy znajdujesz się w bazie, która wyciekła — to może być pułapka. Jeśli chcesz to zrobić, użyj strony HaveIBeenPwned?, która została utworzona przez białe kapelusze i badacza bezpieczeństwa, Troy’a Hunta.
- Gdy wyciekną Twoje dane, zmień hasła we wszystkich usługach internetowych, w których hasło jest podobne lub takie samo: hakerzy dobrze wiedzą, że wielu ludzi ma w zwyczaju recykling haseł. Dlatego próbują oni zhakować konta w serwisie Facebook i LinkedIn oraz — co gorsze — konto pocztowe. Możesz także zwrócić się do banku o wydanie nowej karty kredytowej.
- Ale chyba najważniejsze jest to, aby zawsze pamiętać o tym, że konto może zostać zhakowane w dowolnym czasie. Niestety w dzisiejszych czasach wyciek to nie jest kwestia czy, ale kiedy to się stanie.