Закон кармы: годовщина со взлома Ashley Madison — сайта для изменников

Взлом канадского сайта для супружеских измен привлек внимание множества преступников; шантаж и мошенничество продолжаются до сих пор. Разбираемся, что было и что происходит сейчас

Закон кармы: годовщина со взлома сайта для изменников Ashley Madison

Год назад произошел масштабный взлом, который оказал глубокое влияние на жизни людей, пострадавших от утечки данных, а также похоронил под собой многообещающий, хотя и неоднозначный бизнес.

Неизвестная группировка, назвавшая себя Impact Team, взломала канадский сайт знакомств для женатых людей Ashley Madison, слив в открытый доступ данные более 37 миллионов пользователей из 40 стран мира, исходный код сайта, а также внутреннюю переписку первых лиц компании. Это событие радикально поменяло жизнь многих людей — и привлекло к жертвам внимание мошенников, решивших дополнительно нажиться на пользователях сайта.

Они сами напросились

Хотя взломщики обычно похищают данные с целью их дальнейшей перепродажи, в случае с Ashley Madison злоумышленники, как оказалось, не хотели денег — они требовали «справедливости».

Сначала руководство компании Avid Life Media, владеющей Ashley Madison, получило сообщение от группировки Impact Team, в котором хакеры сообщили о взломе трех сайтов, принадлежащих компании, и о своем единственном требовании — закрытии «непристойных» сайтов под угрозой публикации данных пользователей ресурса. Компания не выполнила требования шантажистов, и спустя месяц группировка реализовала свою угрозу.

Многие пользователи запаниковали, боясь не столько компрометации кредиток, сколько раскрытия интрижек и публикации интимных фото. Исследователи тем временем засучили рукава и приступили к анализу исходного кода сайта, очень быстро обнаружив немало любопытных вещей.

Во-первых, оказалось, что исходный код Ashley Madison содержал несколько слабых мест, позволивших взломщикам с легкостью перемещаться по инфраструктуре сайта после проникновения за «защитный периметр». Во-вторых, анализ показал слабость требований сайта к паролям: используемые пользователями комбинации включали от пяти до восьми знаков и не более двух видов символов.

После того как все покровы были сорваны, Avid Life Media и ее клиентам пришлось жить с последствиями — масштабными и неоднозначными, а также намного более серьезными, чем эффекты от утечек в других, даже самых популярных сервисах.

Убытки, потеря репутации, разрушение надежд: последствия утечки для компании

В подавляющем большинстве случаев реакцией общественности на утечку стало злорадство — в глазах многих компания, построившая свой бизнес на обмане супругов и разрушении браков, получила по заслугам. Затем последовал анализ данных, выложенных хакерами на всеобщее обозрение, включая конфиденциальные внутрикорпоративные сведения. Результаты разозлили уже самих пользователей.

Исследователи выяснили, что рекламные обещания Ashley Madison, привлекшие на сайт десятки миллионов людей, оказались ложью. Во-первых, ресурс обещал своим пользователям «право на забвение» — якобы за дополнительную плату $19 клиент мог полностью и навсегда удалить все данные своего профиля. За год выручка компании от продажи одной только этой услуги составила $1,7 миллиона.

Но на самом деле сервис удалял данные профиля, но не платежные реквизиты, которые содержали реальные имена, номера кредитных карт и точные адреса клиентов. Все это по-прежнему хранилось на серверах. Таким образом, даже регистрируясь под вымышленной личиной, подписчик все-таки делился своим реальным именем с владельцами сайта и не имел возможности удалить эти данные впоследствии.

Дальнейшая работа исследователей подтвердила, что большинство флиртующих женщин на Ashley Madison — не настоящие пользователи, а чат-боты, которые должны были «разговорить» и «завлечь» новичков до такой степени, чтобы те приобрели дополнительные услуги для продолжения знакомства. Эта работа велась компанией целенаправленно и даже учитывала культурные особенности страны пользователя — например, подписчиков «сводили» с представительницами определенной расы.

Бессилие Avid Life Media перед неизвестными и, очевидно, готовыми пойти до конца хакерами стоило компании многого: через несколько месяцев после злосчастного инцидента Avid Life Media хотела выйти на IPO, но шанс заработать $200 миллионов на продаже акций растаял, как только стало известно об инциденте и миллионах «обманутых вкладчиков». Вместо этого компанию ждали многомиллионные судебные иски, аудит и отставка главы компании Ноэля Байдермана.

Инцидент полностью изменил бренд Ashley Madison: по прошествии года с утечки Ashley Madison пришлось обновить свой продукт и даже провести полный ребрендинг. Теперь слоган компании, ранее звучавший как «Жизнь коротка. Заведи интрижку», превратился в «Жизнь коротка. Насладись мгновением». Сервис предпочел откреститься от имиджа «сайта для женатых», стал позиционировать себя как «место для поиска настоящих конфиденциальных отношений между взрослыми людьми без предубеждений».

Разводы, порицание, безысходность: последствия для личной жизни пользователей

В то время как Avid Life Media боролась с последствиями утечки, в отчаянии предлагая награду в $500 тысяч за любые сведения о хакерах, пользователи готовились к непростым временам. В течение первых недель после инцидента отдел пользовательской поддержки Avid Life Media перестал отвечать на тысячи панических запросов и перешел в режим радиомолчания — жертвы остались наедине со своей проблемой.

Бесчисленное количество браков было под угрозой распада, пострадавшие боялись открыться своим женам (или мужьям, в тех редких случаях, когда пользователями Ashley Madison все-таки были женщины), принимали непростые и иногда трагические решения. СМИ докладывали о нескольких попытках самоубийства.

В Сети тем временем ратующие за мораль читатели не уставали стыдить «изменников» и «подлецов», нечасто проявляя сочувствие. Австралийский радиоведущий в прямом эфире сообщил позвонившей слушательнице, что ее муж зарегистрирован на Ashley Madison, а одна из газет в США решила напечатать данные всех жителей штата, изменявших своим партнерам на Ashley Madison.

Перспектива раскрытия факта измены и публикации интимных фото и сексуальных пристрастий также коснулась тысяч военнослужащих, священнослужителей, знаменитостей, публичных персон и политиков, несущих огромные репутационные риски.

В СМИ поступали сведения о том, что многие представители армии или обладатели государственных должностей регистрировались на сайте с указанием рабочей почты. Несмотря на то что эти сведения не всегда подтверждались, слухи бросили тень на различные учреждения, вплоть до офиса премьер-министра Великобритании.

Шантаж, спам, фишинг: последствия взлома с точки зрения информационной безопасности

Злоумышленники, стоявшие за взломом, отличались от обычных хакерских группировок, промышляющих кражей и перепродажей данных. Но каковы бы ни были мотивы Impact Team, другие киберпреступники не преминули воспользоваться ситуацией.

Прежде всего над пострадавшими нависла угроза мошеннических операций с кредитными картами: хотя пользователи «шифровались» и регистрировали аккаунты под псевдонимами, они использовали реальные имена, адреса и номера кредитных карт для оплаты услуг и дополнительных возможностей. Хотя слитая база данных вроде бы не содержала полных номеров кредиток, в некоторых случаях четырех последних цифр было достаточно, чтобы восстановить номер. С помощью этих данных злоумышленники могли украсть у жертв деньги или совершить покупки за их счет.

Махинации с кредитками в случае с Ashley Madison не были единственным способом обогащения киберпреступников. Завладев личными данными, злоумышленники связывались с жертвами и угрожали рассказать семьям и работодателям об их «интрижках» или показать инкриминирующие фото и переписку друзьям с Facebook или коллегам с LinkedIn. Пытаясь скрыть порочащие их сведения, жертвы были готовы заплатить выкуп, но никаких гарантий того, что вымогатели не исполнят свои угрозы, у них не было, равно как и желания заявить на шантажистов в полицию.

Такие операции проворачивают до сих пор. Один из читателей газеты New Jersey недавно поделился историей из жизни при условии сохранения анонимности. «Мистер Смит» развелся с женой и зарегистрировался на Ashley Madison под своим настоящим именем и номером кредитной карты. Позднее ему пришло письмо от шантажистов, заявивших, что в их руках находятся его личная переписка с Ashley Madison, банковские данные и много чего еще.

«У нас есть доступ к вашей странице в Facebook. Если вы не хотите, чтобы всю эту грязь увидели ваши друзья, члены семьи и супруга, заплатите мне 5 биткойнов (почти $3300)… У вас 24 часа, — говорилось в письме злоумышленников. — Вспомните, как дорого стоят услуги адвоката по разводу. Если вы больше не состоите в долгосрочных отношениях, подумайте, как на эти новости отреагируют ваши друзья».

Так как герой этой истории не считает, что он совершил что-либо предосудительное, «мистер Смит» решил поделиться информацией с миром и отказался платить шантажистам. Как этот вопрос решали другие жертвы, известно только им и мошенникам.

https://twitter.com/ChangeCU/status/755973027049766912

Как только крупные СМИ подхватили известия о взломе «сайта для изменников», жены по всему миру обеспокоились не меньше самих любителей адюльтера. Желание «обманутых» сторон узнать правду об измене, а также стремление «обманщиков» проверить, попали ли они «под раздачу», спровоцировало интерес к сайтам, предлагавшим платный поиск по утекшей базе данных пользователей Ashley Madison.

У создателей этих сайтов были разные цели. Учитывая повышенный интерес к утечке, желающие узнать правду из подобных «поисковых систем» рисковали стать жертвами спамерских и фишинговых атак. Мошенники легко могли создать такой сайт-однодневку, чтобы собрать реальные почтовые адреса для фишинга и другого мошенничества. Когда человек вводил в поисковую строку реальный email своего супруга или супруги, адрес тут же попадал к неизвестным «благожелателям», способным использовать полученные данные для спам-рассылок.

Уроки на будущее

После взлома Ashley Madison прошел ровно год, и за это время мы неоднократно слышали о крупных утечках и их последствиях. Однако взлом Ashley Madison затронул что-то более личное, глубокое и важное, чем номера кредитных карт или пароли: истории, абсолютно не предназначенные для чужих глаз, стали достоянием общественности.

Некоторые утечки оказывают долгосрочный эффект как на сам сервис, так и на жизнь его пользователей. Например, можно только представить, какую опасность может представлять условный инструмент, сопоставляющий данные утечки из Ashley Madison и информацию, скомпрометированную в результате другого масштабного происшествия — взлома United States Office of Personnel Management. Утечка из кадровой службы американского правительства поставила под угрозу персональную информацию тысяч госслужащих США, включая тех, кто имел доступ к засекреченной информации.

В данный момент известно о трех громких судебных исках, поданных против Avid Life Media, но последовавшие за разоблачением тихие бракоразводные процессы не привлекли общественного внимания. Миллионы пользователей до сих пор рискуют не только данными, но и семейными отношениями и продолжают жить в страхе быть раскрытыми. Даже сама компания Avid Life Media, подававшая большие надежды до середины 2015 года, была вынуждена сменить вектор своего развития и будет справляться с последствиями утечки еще несколько лет.

Стоит ли использовать сервисы, открыто призывающие к адюльтеру или знакомствам «на одну ночь», — личное дело каждого. Но, как и всегда, мы вынуждены предупредить тех, кто выбирает этот путь. И холостые, и состоящие в браке любители тайных онлайн-знакомств или виртуального секса рискуют больше всех других пользователей Интернета — не только своими данными, но и репутацией. А серьезность угрозы развязывает руки преступникам, применяющим особо грязные техники вроде шантажа и вымогательства.

Если вы все-таки приняли решение окунуться в мир онлайн-интрижек, помните о базовых мерах безопасности, которые помогут снизить ущерб от возможной утечки:

• Сайты знакомств, а также ресурсы, связанные с продажей секс-товаров, обычно слабо защищены, и поэтому пользователи должны сами позаботиться о своей безопасности. Старайтесь оплачивать услуги при помощи наличных или подарочных сертификатов, а также не указывайте в профиле реальный адрес.

• Не обменивайтесь интимными фото, даже если ваш собеседник (собеседница) настаивает на этом. В онлайн-мире никто не застрахован от утечки, поэтому рассматривайте самые худшие варианты развития событий и возможные последствия.

• Не используйте для регистрации рабочий email-адрес. Определив место работы, хакеры могут использовать утечку как повод для шантажа под угрозой раскрытия интимной информации работодателю или для атак с применением средств социальной инженерии.

Основной email тоже лучше приберечь для общения с друзьями и управления учетными записями в Facebook или «ВКонтакте». Вместо этого заведите запасной email — просто на всякий случай.

• Если вы хотите добиться максимальной конфиденциальности, не регистрируйтесь под реальным именем и, конечно же, не используйте для авторизации аккаунты соцсетей — этим вы многократно повышаете риск оказаться жертвой мошенничества или шантажа.

• Если вы все-таки стали жертвой утечки, не ведитесь на уловки «доброжелателей», предлагающих найти ваши данные при помощи специального сайта, — вас могут обманывать. Для безопасного поиска сведений о скомпрометированных данных можно воспользоваться ресурсом HaveIBeenPwned? «белого хакера» Троя Ханта.

• Если ваши данные были скомпрометированы, позаботьтесь о смене паролей к другим онлайн-ресурсам — хакеры знают о такой вредной привычке, как повторное использование паролей. Если вы этого не сделаете, они могут взломать ваши аккаунты в Facebook и LinkedIn или, хуже того, вашу почту. Не помешает и блокировка кредитной карты с последующим перевыпуском.

• И, главное, постарайтесь всегда вести переписку так, как будто взлом может произойти когда угодно, — к сожалению, в мире информационной безопасности вопрос утечки — не «если», а «когда».

27 июля эксперты команды GReAT ответят на вопросы пользователей Reddit. Присоединяйтесь! Спрашивать можно о чем угодно.

Спросите нас о чем угодно. Не стесняйтесь!

Вам когда-нибудь хотелось узнать побольше о работе GReAT? В среду, 27 июля, в 16:00 по Москве (добавьте к себе в календарь) эксперты из GReAT зайдут на Reddit, чтобы провести онлайн-дискуссию в формате Ask Me Anything — «спроси меня о чем угодно». На вопросы будут отвечатьКостин Райю, Винсенте Диас, Райан Нарейн и Виталий Камлюк.

27 июля эксперты команды GReAT ответят на вопросы пользователей Reddit. Присоединяйтесь! Спрашивать можно о чем угодно.
Советы