27/07/2015

Portal randkowy na mimowolnej randce z hakerami

Informacje Zagrożenia

Zapewnienie „To nie ja” nie zadziała w przypadku klientów portalu randkowego Ashley Madison, ponieważ skradziono z niego dane 37 milionów użytkowników. Hakerzy zagrozili opublikowaniem całej bazy danych serwisu, jeśli właściciele nie zamkną dwóch swoich stron.

ashley_madison_pl

Do firmy Avid Life Media należy popularny serwis randkowy Ashley Madison, którego motto brzmi „Życie jest krótkie. Pozwól sobie na romans”, a także strona Established Men, na której bogaci mężczyźni mogą spotkać piękne kobiety. Hakerzy twierdzą, że chcą ukarać ALM za nieuczciwe praktyki: podobno za całkowite usunięcie profilu użytkownika firma żąda zapłacenia 19 dolarów, choć po opłacie wciąż przechowuje dane klienta.

Atakujący twierdzą, że „Użytkownicy uiszczają opłatę niemal zawsze przy użyciu karty kredytowej. Mimo zapewnień informacje o tej transakcji, zawierające imię i nazwisko oraz adres klienta, nie są usuwane, a przecież to o nie najbardziej chodzi”.

Broniący sprawiedliwości hakerzy żądają, aby ALM na stałe zamknęła obie strony. W przeciwnym razie nazwiska i adresy klientów oraz informacje o ich fantazjach seksualnych zostaną opublikowane w internecie.

Co ciekawe, hakerzy nie zmuszają firmy do zamknięcia innej strony – do ALM należy jeszcze serwis Cougar Life kojarzący starsze kobiety z młodszymi mężczyznami. Firma oskarża atakujących o popełnienie przestępstwa.

KrebsOnSecurity twierdzi, że próbki skradzionych danych zostały już opublikowane w internecie, co miało na celu udowodnienie włamania, lecz ALM zdołał usunąć opublikowane dane tuż po incydencie. Firma potwierdziła wyciek i oświadczyła, że zatrudniła „najlepszych śledczych oraz innych ekspertów bezpieczeństwa, aby określić pochodzenie, naturę i zakres tego incydentu”.

Całkiem możliwe, że za całą akcją stoi osoba posiadająca dostęp do sieci firmowej — były pracownik lub wykonawca. Pośredni dowód tej teorii można odnaleźć w informacji, w której atakujący przeprasza dyrektora bezpieczeństwa ALM: „Przepraszamy jedynie Marka Steele’a. Zrobiłeś wszystko, co tylko mogłeś, ale nas nic nie mogło zatrzymać”.

Dla ALM stawką są ogromne dochody: według hakerów sama usługa usuwania profilu przyniosła firmie w 2014 roku około 1,7 miliona dolarów. Szacuje się, że cały projekt Ashley Madison jest wart 1 miliard dolarów.

Wygląda na to, że firma ALM nie jest gotowa spełnić żądania hakerów i zamknąć strony, a prywatność 37 milionów „randkowiczów” zawisła w próżni. Pomijając kwestie moralności i możliwe problemy rodzinne, dane mogą zostać użyte przez innych cyberprzestępców do ataków phishingowych lub oszustw bankowych.

Nie wiadomo, komu przypisać większą winę: firmie ALM, że obiecała bezpieczeństwo swoim użytkownikom, czy samych użytkowników, bowiem wyniki najnowszego raportu Electronic Frontier Foundation pokazały, że strony randkowe są bardzo niebezpieczne z punktu widzenia bezpieczeństwa/prywatności. Zaledwie kilka miesięcy wcześniej inna podobna strona została zhakowana, a w konsekwencji opublikowano informacje o preferencjach seksualnych, fetyszach oraz sekrety ponad 3,5 miliona osób.

Gdy za towary i usługi intymne płacisz kartą kredytową, dzielisz się swoimi wrażliwymi informacjami ze sprzedawcą — i z każdym hakerem, który będzie miał na tyle odwagi, aby włamać się do systemu sprzedającego. Po opublikowaniu danych w internecie nie można ich usunąć w żaden sposób.

Dlatego warto jest stosować chociaż podstawowe środki bezpieczeństwa:

– używaj kanałów komunikacji szyfrowanej,
– płać gotówką, jeśli nie chcesz, aby Twoje dane były rejestrowane i używane przez nieuczciwych sprzedawców,
– na portalach randkowych używaj osobnego adresu e-mail oraz pseudonimu.

ALM twierdzi, że jest blisko zidentyfikowania osób odpowiedzialnych za atak. Niestety, nie jest jasne, czy śledztwo zakończy się na czas i prywatność milionów użytkowników portalu zostanie ocalona.