15:48
19/8/2015

The internet is for sex, to znana maksyma. Serwisów umożliwiających zdradę małżeńską jest od groma. Jednym z najpopularniejszych, reklamujących się sloganem “życie jest zbyt krótkie, skocz w bok” był Ashley Madison, na którym konta mają także Polacy. Niestety, 11 lipca temu serwisowi zachęcającemu do zdrady wykradziono pełną bazę danych, a także klucze domenowe i prywatne dokumenty pracowników serwisu. Włamywacz postawił ultimatum — serwis ma zniknąć z sieci. Nie zniknął …i za karę dane osobowe wszystkich jego użytkowników oraz dane pracowników serwisu właśnie zostały opublikowane w internecie, a obecnie są przeglądane przez setki internautów…

Cieżko o anonimowość przy szukaniu “randki”

Kiedy zdradzasz, zapewne zależy Ci na anonimowości, a przynajmniej w takim zakresie, żeby o Twoich wybrykach nie dowiedziała się twoja druga połówka. Trudno jednak umówić się na skok w bok nie ujawniając przyszłej kochance swojego wyglądu albo kontaktowego numeru telefonu czy adresu e-mail. Niestety, jak wynika z opublikowanych przez włamywacza danych, nie wszyscy użytkownicy serwisu Ashley Madison pomyśleli o tym, aby skorzystać z dedykowanego numeru telefonu i adresu e-mail. Sporo ujawniało też swoje seksualne fantazje. Co gorsza, serwis pobierał od użytkowników opłaty — a jak wiadomo, jeszcze trudniej o kartę płatniczą na fałszywe nazwisko…

Polacy także korzystali z tego serwisu

Polacy także korzystali z tego serwisu

Krótko mówiąc, znakomita większość randkowiczów, oczekująca nagości, właśnie została obnażona. Można zażartować, że zła karma wraca. Obecnie setki osób analizują dane z wycieku i robią rozmaite statystyki — np. to ile użytkowników serwisu korzystało z firmowych skrzynek albo z domen rządowych. W przypadku rządowych i wojskowych domen USA doliczono się 15 000 kont… Warto jednak nadmienić, że konto na dowolny adres e-mail mógł założyć każdy (takie konto może istnieć w dumpie nawet, jeśli właściciel e-maila, któremu ktoś podlożył świnię, nie kliknął w link z potwierdzeniem).

Jakie dane wyciekły?

W opublikowanym 10 gigabajtowym zrzucie znajdują się dane ok. 36 milionów użytkowników:

    Imiona i Nazwiska użytkowników
    Adresy e-mail
    Numery telefonów
    Hashe haseł (silne, bcrypt)
    Profile członków (wysokość, waga)
    Preferencje seksualne (“chętny do trójkąta”, “niewolnik”, itp.)
    Transakcje kartowe (częściowe dane karty płatniczej)
fot. arstechnica

fot. arstechnica

Ponieważ w samym dumpie nie ma bezpośrednich odwołań do serwisu Ashley Madison, a wiele z kont jest ewidentnie “tymczasówkami, część z internatuów uważała, że dane mogą być sfałszowane. Tak też twierdzili twórcy serwisu. Niestety, bardziej techniczni użytkownicy serwisu, którzy pobrali zrzut, a którzy rejestrowali swoje konta na dedykowane i używane tylko do tego celu e-maile, potwierdzili ich obecność w bazie. Prawdziwość wycieku potwierdza także zawartość kont z bugmenot, które założono przed włamaniem.

…ale to nie wszystko

W dumpie znajdują się klucze do domeny Windowsa, szereg wewnętrznych dokumentów (kontrakty, opisy technik sprzedażowych, itp.) oraz dane kont PayPal managerów serwisu.

Screen-Shot-2015-08-19-at-12_30_27-AM

To sugeruje, że atakujący nie tylko przejęli kontrolę nad serwisem internetowym, a nad całością infrastruktury — takżę biurowej — firmy prowadzącej serwis.

Co wiemy na temat przyczyn incydentu i wycieku?

Do tej pory nie jest jasne jak włamywacze wykradli dane użytkowników i pracowników serwisu. Udostępnienie wewnętrznych dokumentów może sugerować, że któryś z pracowników serwisu padł ofiarą phishingu lub otworzył zainfekowany załącznik. Atakujący, który uzyskał dostęp do skrzynki pocztowej mógł następnie poznać wewnętrzne dokumenty firmowe, w tym (co zresztą znajduje się w dumpie) dane dostępowe do serwerów.

Jak dokładnie wygląda taka eskalacja ataku — od przejęcia skrzynki e-mail, do przejęcia kontroli nad systemami finansowo-księgowymi firmy — opisaliśmy ostatnio w artykule Jak wyłudzono 467 milionów dolarów. Zacytujmy tu fragment:

Podczas wykonywania przez nas testów penetracyjnych, jeśli klient dopuści także ataki socjotechniczne, to nasz zespół bezpieczeństwa zawsze osiąga 100% skuteczność w uzyskaniu dostępu do nieautoryzowanych danych firmowych.

Ataki z reguły zaczynają się od podstawienia fałszywego serwisu imitującego firmowego webmaila, albo inny z systemów, z których korzystają pracownicy audytowanej firmy. Potem następuje rozesłanie zespoofowanego e-maila i przejęcie haseł od tych z pracowników, którzy nie zauważą różnicy pomiędzy “domeną” a “dorneną”. Kiedy pozyskamy dostęp do skrzynki e-mail, praktycznie zawsze jesteśmy w stanie nie tylko znaleźć “wrażliwe” dokumenty, ale również precyzyjnie zmapować strukturę zatrudnienia w firmie i następnie wykorzystać ją do eskalacji ataku na kolejne osoby. Tym razem nie musimy już “spoofować” e-maili. W eskalacji ataku często pomaga nam wykorzystywanie przez pracowników tych samych haseł do wielu systemów …i zmęczenie (rozkojarzenie) ofiar. Większość ataków celowo wykonujemy tuż przed końcem dnia pracy, kiedy czujność jest niższa, a ewentualna wpadka spowoduje, że dział bezpieczeństwa będzie miał olbrzymi problem, aby wszystkich skutecznie powiadomić. Nie wszyscy przecież mają telefony służbowe, albo — jeśli je mają — odbierają je po godzinach pracy. W trakcie prowadzonych przez nas ataków, nie tylko wykradaliśmy dane ze skrzynek e-mailowych kadry zarządzającej, ale również obchodziliśmy systemy dwuskładnikowego uwierzytelnienia, pozyskiwaliśmy dane z systemów finansowo księgowych i sami podstawialiśmy fałszywe faktury.

Za hipotezami dotyczącymi złośliwego oprogramowania i nieautoryzowanego dostępu do komputerów w sieci firmowej przemawia także fakt, że włamywaczom udało się pozyskać klucze domenowe. Ciężko jest tego dokonać nie mając dostępu do komputera znajdującego się w domenie — sam dostęp do skrzynki pocztowej zazwyczaj nie wystarcza (chyba, że ktoś wystawia swój kontroler do internetu…)

Korzystam z portali “randkowych” — co robić, jak żyć?

Jeśli już myślicie o skoku w bok z wykorzystaniem serwisu internetowego, zadbajcie o swoje bezpieczeństwo (i prywatność).

  • Użyj fałszywych danych osobowych i dedykowanego e-maila
  • Użyj dedykowanego tylko temu celowi telefonu komórkowego z dedykowaną kartą SIM.
  • Nie loguj się do serwisu ze swojego adresu IP. Nawet korzystając z lewych danych, można z dużym prawdopodobieństwem ustalić, że miałeś konto w serwisie, porównując twój domowy/firmowy adres IP z adresem IP w bazie danych (serwisy zazwyczaj przechowują adres IP pierwszej rejestracji i ostatniego logowania).
  • >Płatności dokonuj kartą prepaidową, nie zawierającą danych osobowych.
  • Traktuj wszystkie dane umieszczane i przesyłane przez internet jako publicznie dostępne. Zawsze i dla każdego. Pamiętaj, że wysyłając komuś (nawet prywatnie) swoje zdjęcie, nie masz wpływu na to czy rzeczywiście będzie ono widziane tylko dla was dwojga. Abstrahując od zaufania do rozmówcy, błąd programistyczny albo włamanie (jak w tym przypadku) może sprawić, że dane wyciekną i ktoś zobaczy cię (nago albo w przebraniu pokojówki).

I na koniec oczywiście najskuteczniejsza rada: nie zdradzaj swojej partnerki (partnera).

PS. Jeśli korzystaliście z serwisu Ashley Madison, dajcie znać (w komentarzach albo przez formularz kontaktowy — obie formy komunikacji współpracują z Torem). Z chęcią dowiemy się, czy gra była warta świeczki oraz czy wasze dane są w wycieku.

Aktualizacja 20.08.2015
Pojawiają się pierwsze historie użytkowników ujawnionych przez wyciek. Jednym z nich jest homoseksualny Arab, który obawia się o swoje życie i po wycieku rozpoczął ucieczkę za granicę. Mieszka bowiem w Arabii Saudyjskiej, gdzie za stosunki homoseksualne czeka go ukamienowanie…


Przeczytaj także:



56 komentarzy

Dodaj komentarz
  1. A jakiś link do pliku? :P Fajnie by było przeszukać :D Może ktoś ze znajomych by się znalazł :P

  2. Nk potwierdzi czy legitne: h**p://boards.4chan.org/t/thread/674728#q674728

    • PS. http://yuc3i3hat65rpl7t.onion/stuff/impact-team-ashley-release.html
      magnet:?xt=urn:btih:ICXIVEG6IDFDV6TWHSHNWQ74D7CH25PR&dn=dmps&tr=udp%3a%2f%2ftracker.openbittorrent.com%3a80&tr=udp%3a%2f%2fopen.demonii.com%3a1337&tr=udp%3a%2f%2ftracker.coppersurfer.tk%3a6969&tr=udp%3a%2f%2fexodus.desync.com%3a6969
      Takie literki i cyferki ktoś tam podał, ale ja nic nie wiem, nie sprawdzałem i nie polecam.

    • wirus trojan, nie pobierać

    • @adam – żaden wirus, normalna baza. Rozumiem, że nagabujesz do nie pobierania bo widniejesz w tym pięknym spisie? :)

    • @vegii
      Tak czytałem ^^ i nie wiem…dlaczego gzipnięty pliczek ~1.5GB zajmuje ~2.5GB? W innych ponoć jeszcze większe różnice…

    • @vegii: “Nk” = Niech ktoś? Gówniarze aż tak się rozleniwili?

  3. > W opublikowanym 10 gigabajtowym zrzucie znajdują się dane ok. 36 milionów użytkowników:

    > […snipped…]
    > Profile członków (wysokość, waga)

    Wy tak specjalnie, żeby nas rozbawić, prawda? :)

  4. Te opublikowane profile członków (wysokość, waga) to w wzwodzie czy jak ? ;)

  5. To teraz czekamy na masę serwisów w stylu ‘sprawdź czy twoja druga połowa cię zdarza’ – będzie kolejne 10 GB danych :)

    • A jak ktoś był zapobiegliwy i nie ma swojej tzw. “drugiej połowy” (w dzisiejszych czasach to anachronizm posiadać tzw. stałego partnera) to co robić wtedy ? Czy można spać spokojnie ?
      PS.
      Wiem co trzymam w lodówce … druga , trzecia a nawet kolejna “połówka” chłodzi się tam od pewnego czasu :D

    • już są, np. https://ashley.cynic.al/

    • @zygmunt
      “w dzisiejszych czasach to anachronizm posiadać tzw. stałego partnera”
      – tak to sobie dłumacz ;D

    • O, jaki fajny zbieracz e-maili do spamowania.

  6. “Włamywacz postawił ultimatum — serwis ma zniknąć z sieci.” – pierwsze co mi przyszło do głowy to: został zdradzony i teraz prowadzi wojnę :P Zdrada jest zła, nie popieram takich serwisów.

  7. Niebezpieczniku nie Pudelkuj i wspomnij o autentyczności kont AM.

    https://grahamcluley.com/2015/08/ashley-madisons-leaked-database-available-download-read-this/

  8. Ciekawostka dla miłośników serwisów randkowych: Podobno 90-95% profili w tym wycieku to faceci ;) I to by się zgadzało z tym, co parę lat temu mój skrypt liczący kobiety na Sympatii: Po interpolacji wyników dla jednego województwa wyszło mi, że na 1 kobietę przypada 7-14 facetów ;)

    • Co więcej, często spora część to profile sztuczne, założone przez administrację. Dotyczy to na pewno serwisów do kilkuset użytkowników, z większymi styczności nie miałem.

    • @RK: według moich danych, podobno 90-95% użytkowników tego i temu podobnych serwisów to kobiety; nie od dzisiaj wiadomo, że czasy się zmieniły i kobiety zdradzają bardziej od mężczyzn.

    • @Ninja
      Znam się też na psychologii i wygląda mi Twoja opinia na komplikatory na punkcie ról seksualnych. Postrzegasz kobiety jako silne i pociagają Cię kultury wymuszające ich uległość? Jeśli tak, to możesz myślę takoż od razu poczytać o syndromie Piotrusia Pana…

    • “według moich danych, podobno”

    • @B: napisane celowo.
      @RK alias Sigmunt: “komplikatory na punkcie ról seksualnych”. I padła twoja znajomość psychologii.

    • @RK: Aaaaaa, ty lewacka feministka jesteś. Kumam. Teraz ma to sens, czyli brak takowego.

    • @Ninja
      Nie prosiłem cię o komentarz, tylko sugerowałem, żebyś dla dobra populacji prywatnie się ogarnął.

  9. Kilka brytyjskich dzienników, które opublikowały artykuł o tym włamaniu, wspominały, że głównym motywem atakujących były opłaty jakie serwis pobierał od użytkowników chcących usunąć konto z serwisu a nie samo istnienie tak kontrowersyjnego portalu.

  10. wlasnie znalazłem ciekawy email w bazie :) szlachta się bawi
    wybory2005@pis.org.pl

  11. Czego się dowiedziałem z tego włamu, to fakt że serwisy przechowują dane o płatnościach (w sensie numery kart i powiązane z nimi nazwiska). Czy to jest normalna praktyka?

    • Numery kart tylko jeśli sami realizują płatności, ale nazwiska, maile, często adresy pocztowe nawet jeśli płatności realizowane są przez podmiot zewnętrzny.

  12. Czym otworzyc te pliki ? Po rozszyfrowaniu odwołanie jest do Worda, który nie może otworzyć.

  13. Niebezpiecznik – “co robić jak życ”, uważajcie żebyście teraz Wy nie stali się celem ataku za udzielanie porad planującym skok w bok ;)

  14. https://niebezpiecznik.pl/wp-content/uploads/2015/08/ashley-madison-bittorrent-dump.png – co to za soft (to, że do torrenta to wiem) :)

    • uTorrent zdaje się

    • μTorrent

    • uTorrent?

  15. Z artykułu można odnieść wrażenie, że autor artykułu (Piotr K.?) popiera istnienie takich serwisów (“niestety, 11 lipca”, porady). Czy to prawda Panie Piotrze?

    • Ja wywnioskowałem co innego…
      “I na koniec oczywiście najskuteczniejsza rada: nie zdradzaj swojej partnerki (partnera).”

    • No…wybory już niedługo i widzę, że strażnicy moralności robią już swoje czarne listy

    • @hoho – jakoś nie słyszałem, by ktoś z niebezpiecznika startował w wyborach, ale Ty, jako wyborczy agitator, każdą okazję wykorzystujesz, nawet jeśli w tym co robisz nie ma żadnej logiki.
      @ Szymon – ostatnia porada jest jak najbardziej słuszna i praktyczna, ale nie zaprzecza tezy postawionej w pytaniu :)

  16. portal dla zdrajców błe :\ i dobrze niech się dowiedzą wszyscy !

  17. “The internet is for sex to znana maksyma.” – blisko ale jednak nie. Znana maksyma brzmi raczej “Internet is for p0rn”.

  18. Jak widać, osoby posiadające profil na tej stronie dostały dokładnie to, czego szukały – zostały wyru**ane przez osobę trzecią :P

  19. Jak otworzyć DUMP ?

    • Spróbuj TOILETEM.

  20. Opublikowany został nowy torrent. Ktoś sprawdzi?
    magnet:?xt=urn:btih:9BFBABCD3B936EB1EC0A9A7FA21622CD98833E08&dn=srcdmp&tr=udp%3a%2f%2ftracker.openbittorrent.com%3a80&tr=udp%3a%2f%2fopen.demonii.com%3a1337&tr=udp%3a%2f%2ftracker.coppersurfer.tk%3a6969&tr=udp%3a%2f%2ftracker.leechers-paradise.org%3a6969

    I wiadomość:
    Hey Noel, you can admit it’s real now

    – -Impact Team

  21. Czyli jest spora szansa na to, że wyciągną wnioski i w końcu pójdą po rozum do głowy a portal będzie bezpieczniejszy. No a dla wszystkich którzy się niechcący “ujawnili”… no cóż… jest ryzyko jest zabawa ;) Ale konsekwencje trzeba ponosić… :)

    Nota bene… chyba zdecydowanie lepsze będą metody tradycyjne jak już ktoś musi zdradzać (no chyba, że kozak w necie, leszcz w świecie i nawet nie potrafi się odezwać do kobiety/faceta).

    Tak czy inaczej pseudo elitarne kluby offlinowe są chyba zdecydowanie najbezpieczniejsze – nawet jak spotka się kogoś znajomego, to ciężko kogoś podj*bać z racji tej, że może się odwdzięczyć ;)

  22. Jak to otworzyć ten dump? A dokładniej *.7z oraz *.7z.asc (to w notepadzie++ da sie)

    • Rusz trochę głową a sobie z tym poradzisz;) czasu może trochę stracisz ale się czegoś przynajmniej nauczysz

  23. Ciekaw jestem tylko czy ktoś pozwie wspomniany portal za niewystarczające zabezpieczenie danych osobowych? Bo nie ukrywajmy, choćby w USA udowodniona zdrada może być przyczyna znaczącego uszczerbku na majątku na rzecz już wtedy byłego małżonka.

  24. Jak to otworzyć ten dump? A dokładniej *.7z oraz *.7z.asc jakaś wskazówka ?

  25. Po rozpakowaniu archiwum mam duże pliki z rozszerzeniem *.dump, otworzyć to jakimś edytorem tekstu – bo notepad++ zawiesza się, czy czymś innym ?

  26. Pojawiła się wstępna analiza złamanych hashy, ale charakterestyka haseł podobna do tych z innych wykradzionych baz danych: http://www.pxdojo.net/2015/08/what-i-learned-from-cracking-4000.html

  27. Czy ktos mi napisze jak prosto otworzyc ten plik ? Mam Win 7. Znalazlem instrukcje na reddit, ale to nie dziala u mnie …

  28. A czy jak ktos robil platnosc nie karta platnicza tylko paypalem to “zostaja” na liscie nazwiska z paypala ?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: