- Вони самі напросилися
- Збитки, втрата репутації, руйнування надій: наслідки витоку для компанії
- Розлучення, осуд, безвихідь: наслідки для особистого життя користувачів
- Шантаж, спам, фішинг: наслідки злому з точки зору інформаційної безпеки
- Уроки на майбутнє
Рік тому сталася масштабна злом , Який вплинув на життя людей, які постраждали від витоку даних, а також поховав під собою багатообіцяючий, хоча і неоднозначний бізнес.
Невідоме угруповання, яка назвала себе Impact Team, зламала канадський сайт знайомств для одружених людей Ashley Madison, слив у відкритий доступ дані більше 37 мільйонів користувачів з 40 країн світу, вихідний код сайту, а також внутрішню переписку перших осіб компанії. Ця подія радикально змінило життя багатьох людей - і привернуло до жертв увагу шахраїв, які вирішили додатково нажитися на користувачів сайту.
Вони самі напросилися
Хоча зломщики зазвичай викрадають дані з метою їх подальшого перепродажу, в випадку з Ashley Madison зловмисники, як виявилося, не хотіли грошей - вони вимагали «справедливості».
Спочатку керівництво компанії Avid Life Media, що володіє Ashley Madison, отримало повідомлення від угруповання Impact Team, в якому хакери повідомили про злом трьох сайтів, що належать компанії, і про своєму єдиному вимозі - закриття «непристойних» сайтів під загрозою публікації даних користувачів ресурсу. Компанія не виконала вимоги шантажистів, і через місяць угруповання реалізувала свою загрозу .
Багато користувачів запанікували, боячись не стільки компрометації кредиток, скільки розкриття інтрижок і публікації інтимних фото. Дослідники тим часом закотили рукави і приступили до аналізу вихідного коду сайту, дуже швидко виявивши чимало цікавих речей.
По-перше, виявилося, що вихідний код Ashley Madison містив кілька слабких місць, що дозволили хакерам з легкістю переміщатися по інфраструктурі сайту після проникнення за «захисний периметр». По-друге, аналіз показав слабкість вимог сайту до паролів: використовувані користувачами комбінації включали від п'яти до восьми знаків і не більше двох видів символів.
Після того як всі покриви були зірвані, Avid Life Media і її клієнтам довелося жити з наслідками - масштабними і неоднозначними, а також набагато більш серйозними, ніж ефекти від витоків в інших, навіть самих популярних сервісах.
Збитки, втрата репутації, руйнування надій: наслідки витоку для компанії
У переважній більшості випадків реакцією громадськості на витік стало зловтіха - в очах багатьох компанія, що побудувала свій бізнес на обмані подружжя і руйнуванні шлюбів, отримала по заслугах. Потім був аналіз даних, викладених хакерами на загальний огляд, включаючи конфіденційні внутрішньокорпоративні відомості. Результати розлютили вже самих користувачів.
Дослідники з'ясували, що рекламні обіцянки Ashley Madison, котрі залучили на сайт десятки мільйонів людей, опинилися брехнею. По-перше, ресурс обіцяв своїм користувачам «право на забуття» - нібито за додаткову плату $ 19 клієнт міг повністю і назавжди видалити всі дані свого профілю. За рік виручка компанії від продажу однієї тільки цієї послуги склала $ 1,7 мільйона.
Але насправді сервіс видаляв дані профілю, але не платіжні реквізити, які містили реальні імена, номери кредитних карт і точні адреси клієнтів. Все це, як і раніше зберігалося на серверах. Таким чином, навіть реєструючись під вигаданим личиною, передплатник все-таки ділився своїм реальним ім'ям з власниками сайту і не мав можливості видалити ці дані згодом.
Подальша робота дослідників підтвердила, що більшість фліртують жінок на Ashley Madison - не справжні користувачі, а чат-боти, які повинні були «розговорити» і «заманити» новачків до такої міри, щоб ті придбали додаткові послуги для продовження знайомства. Ця робота велася компанією цілеспрямовано і навіть враховувала культурні особливості країни користувача - наприклад, передплатників «зводили» з представницями певної раси.
Безсилля Avid Life Media перед невідомими і, очевидно, готовими піти до кінця хакерами коштувало компанії багато чого: через кілька місяців після злощасного інциденту Avid Life Media хотіла вийти на IPO, але шанс заробити $ 200 мільйонів на продаж акцій розтанув, як тільки стало відомо про інцидент та мільйонах «ошуканих вкладників». Замість цього компанію чекали багатомільйонні судові позови, аудит і відставка глави компанії Ноеля Байдермана.
Інцидент повністю змінив бренд Ashley Madison: У кінці року з витоку Ashley Madison довелося оновити свій продукт і навіть провести повний ребрендинг. Тепер слоган компанії, раніше звучав як «Життя коротке. Заведи інтрижку », перетворився в« Життя коротке. Насолоджуйся миттю ». Сервіс вважав за краще відхреститися від іміджу «сайту для одружених», став позиціонувати себе як «місце для пошуку справжніх конфіденційних відносин між дорослими людьми без упереджень».
Розлучення, осуд, безвихідь: наслідки для особистого життя користувачів
У той час як Avid Life Media боролася з наслідками витоку, в розпачі пропонуючи нагороду в $ 500 тисяч за будь-які відомості про хакерів, користувачі готувалися до непростих часів. Протягом перших тижнів після інциденту відділ підтримки користувачам Avid Life Media перестав відповідати на тисячі панічних запитів і перейшов в режим радіомовчання - жертви залишилися наодинці зі своєю проблемою.
Незліченна кількість шлюбів було під загрозою розпаду, постраждалі боялися відкритися своїм дружинам (або чоловікам, в тих рідкісних випадках, коли користувачами Ashley Madison все-таки були жінки ), Брали непрості і іноді трагічні рішення. ЗМІ доповідали про декількох спробах самогубства.
У Мережі тим часом ратують за мораль читачі не втомлювалися соромити «зрадників» і «негідників», нечасто проявляючи співчуття. Австралійський радіоведучий в прямому ефірі повідомив подзвонила слухачці, що її чоловік зареєстрований на Ashley Madison, а одна з газет в США вирішила надрукувати дані всіх жителів штату, змінювали своїм партнерам на Ashley Madison.
Перспектива розкриття факту зради і публікації інтимних фото і сексуальних пристрастей також торкнулася тисяч військовослужбовців, священнослужителів, знаменитостей, публічних персон і політиків, що несуть величезні репутаційні ризики.
У ЗМІ надходили відомості про те, що багато представників армії або власники державних посад реєструвалися на сайті із зазначенням робочої пошти. Незважаючи на те що ці відомості не завжди підтверджувалися, чутки кинули тінь на різні установи, аж до офісу прем'єр-міністра Великобританії .
Шантаж, спам, фішинг: наслідки злому з точки зору інформаційної безпеки
Зловмисники, які стояли за зломом, відрізнялися від звичайних хакерських угруповань, які промишляють крадіжкою і перепродажем даних. Але які б не були мотиви Impact Team, інші кіберзлочинці скористалися ситуацією.
Перш за все над постраждалими нависла загроза шахрайських операцій з кредитними картами: хоча користувачі «шифрувалися» і реєстрували акаунти під псевдонімами, вони використовували реальні імена, адреси і номери кредитних карт для оплати послуг і додаткових можливостей. Хоча злита база даних начебто не містила повних номерів кредиток, в деяких випадках чотирьох останніх цифр було досить, щоб відновити номер. За допомогою цих даних зловмисники могли вкрасти у жертв гроші або зробити покупки за їх рахунок.
Махінації з кредитками у випадку з Ashley Madison були єдиним способом збагачення кіберзлочинців. Заволодівши особистими даними, зловмисники зв'язувалися з жертвами і погрожували розповісти сім'ям та роботодавцям про їх «інтрижки» або показати інкримінують фото і листування друзям з Facebook або колегам з LinkedIn. Намагаючись приховати порочать їх відомості, жертви були готові заплатити викуп, але ніяких гарантій того, що вимагачі не виповнилося свої погрози, у них не було, так само як і бажання заявити на шантажистів в поліцію.
Такі операції провертають до сих пір. Один з читачів газети New Jersey недавно поділився історією з життя за умови збереження анонімності. «Містер Сміт» розлучився з дружиною і зареєструвався на Ashley Madison під своїм справжнім ім'ям і номером кредитної картки. Пізніше йому прийшов лист від шантажистів, які заявили, що в їх руках знаходяться його особисте листування з Ashley Madison, банківські дані і багато чого ще.
«У нас є доступ до вашої сторінці в Facebook. Якщо ви не хочете, щоб весь цей бруд побачили ваші друзі, члени сім'ї та дружина, заплатите мені 5 біткойнов (майже $ 3300) ... У вас 24 години, - говорилося в листі зловмисників. - Згадайте, як дорого коштують послуги адвоката по розлученню. Якщо ви більше не перебуваєте в довгострокових відносинах, подумайте, як на ці новини відреагують ваші друзі ».
Так як герой цієї історії не вважає, що він зробив щось варте осуду, «містер Сміт» вирішив поділитися інформацією зі світом і відмовився платити шантажистам. Як це питання вирішували інші жертви, відомо тільки їм і шахраям.
https://twitter.com/ChangeCU/status/755973027049766912
Як тільки великі ЗМІ підхопили звістки про злом «сайту для зрадників», дружини по всьому світу перейнялися не менше самих любителів адюльтеру. Бажання «ошуканих» сторін дізнатися правду про зраду, а також прагнення «ошуканців» перевірити, чи потрапили вони «під роздачу», спровокувало інтерес до сайтів, які пропонували платний пошук по витекла базі даних користувачів Ashley Madison.
У творців цих сайтів були різні цілі. З огляду на підвищений інтерес до витоку, які бажають дізнатися правду з подібних «пошукових систем» ризикували стати жертвами спамерських та фішингових атак. Шахраї легко могли створити такий сайт-одноденку, щоб зібрати реальні поштові адреси для фішингу та іншого шахрайства. Коли людина вводив в пошуковий рядок реальний email свого чоловіка або дружини, адреса тут же потрапляв до невідомим «доброзичливців», здатним використовувати отримані дані для спам-розсилок.
Уроки на майбутнє
Після злому Ashley Madison пройшов рівно рік, і за цей час ми неодноразово чули про великих витоках і їх наслідки. Однак злом Ashley Madison торкнувся щось більш особисте, глибоке і важливе, ніж номери кредитних карт або паролі: історії, зовсім не призначені для чужих очей, стали надбанням громадськості.
Деякі витоку надають довгостроковий ефект як на сам сервіс, так і на життя його користувачів. Наприклад, можна тільки уявити, яку небезпеку може представляти умовний інструмент, що зіставляє дані витоку з Ashley Madison і інформацію, скомпрометовану в результаті іншого масштабного події - злому United States Office of Personnel Management. Витік з кадрової служби американського уряду поставила під загрозу персональну інформацію тисяч держслужбовців США, включаючи тих, хто мав доступ до засекреченої інформації.
В даний момент відомо про трьох гучних судових позовах, поданих проти Avid Life Media, але пішли за викриттям тихі шлюборозлучні процеси не залучили суспільної уваги. Мільйони користувачів до сих пір ризикують не тільки даними, але і сімейними відносинами і продовжують жити в страху бути розкритими. Навіть сама компанія Avid Life Media, яка подавала великі надії до середини 2015 року, була змушена змінити вектор свого розвитку і буде справлятися з наслідками витоку ще кілька років.
Чи варто використовувати сервіси, відкрито закликають до адюльтеру або знайомствам «на одну ніч», - особиста справа кожного. Але, як і завжди, ми змушені попередити тих, хто вибирає цей шлях. І холості, і перебувають у шлюбі любителі таємних онлайн-знайомств або віртуального сексу ризикують більше всіх інших користувачів Інтернету - не тільки своїми даними, а й репутацією. А серйозність загрози розв'язує руки злочинцям, які застосовують особливо брудні техніки на кшталт шантажу і вимагання.
Якщо ви все-таки вирішили зануритися в світ онлайн-інтрижок, пам'ятайте про базових заходи безпеки , Які допоможуть знизити збиток від можливого витоку:
• Сайти знайомств, а також ресурси, пов'язані з продажем секс-товарів, зазвичай слабо захищені, і тому користувачі повинні самі подбати про свою безпеку. Намагайтеся оплачувати послуги за допомогою готівки або подарункових сертифікатів, а також не вказуйте в профілі реальну адресу.
• Чи не обмінюйтеся інтимними фото, навіть якщо ваш співрозмовник (співрозмовниця) наполягає на цьому. В онлайн-світі ніхто не застрахований від витоку, тому розглядайте найгірші варіанти розвитку подій і можливі наслідки.
• Не використовуйте для реєстрації робочий email-адреса. Визначивши місце роботи, хакери можуть використовувати витік як привід для шантажу під загрозою розкриття інтимної інформації роботодавцю або для атак із застосуванням засобів соціальної інженерії.
• основний email теж краще приберегти для спілкування з друзями і управління обліковими записами в Facebook або «ВКонтакте». Замість цього заведіть запасний email - просто про всяк випадок.
• Якщо ви хочете добитися максимальної конфіденційності, які не реєструйтеся під реальним ім'ям і, звичайно ж, не використовуйте для авторизації акаунти соцмереж - цим ви багаторазово підвищуєте ризик виявитися жертвою шахрайства або шантажу.
• Якщо ви все-таки стали жертвою витоку, не ведіться на виверти «доброзичливців», які пропонують знайти ваші дані за допомогою спеціального сайту, - вас можуть обманювати. Для безпечного пошуку відомостей про скомпрометованих даних можна скористатися ресурсом HaveIBeenPwned? «Білого хакера» Троя Ханта.
• Якщо ваші дані були скомпрометовані, подбайте про зміну паролів до інших онлайн-ресурсів - хакери знають про таку шкідливою звичкою, як повторне використання паролів . Якщо ви цього не зробите, вони можуть зламати ваші акаунти в Facebook і LinkedIn або, гірше того, вашу пошту. Не завадить і блокування кредитної картки з наступним перевипуском.
• І, головне, постарайтеся завжди вести переписку так, як ніби злом може статися будь-коли, - на жаль, в світі інформаційної безпеки питання витоку - не "якщо", а "коли".
Для безпечного пошуку відомостей про скомпрометованих даних можна скористатися ресурсом HaveIBeenPwned?