Únik dat z Ashley Madison

Únik dat z Ashley Madison byla událost v červenci roku 2015, kdy do té doby neznámá skupina hackerů napadla seznamovací portál Ashley Madison, komerční webovou stránku pro lidi hledající mimomanželské poměry. Hackerská skupina, nazývající se „The Impact Team“ tvrdila, že získala všechna uživatelská data a vyhrožovala, že tyto osobní údaje zveřejní, jestliže nebude webová stránka okamžitě vypnuta. V srpnu toho roku ke zveřejnění uživatelských dat skutečně došlo.

Kvůli politice společnosti o zachovávání všech uživatelských dat včetně celých jmen, adres, vyhledávací historie a záznamů kreditních karet se (bývalí) uživatelé báli veřejného pranýřování.[1]

Časová osa útoku

The Impact Team oznámil provedení útoku 15. července 2015 a vyhrožoval zveřejněním identit uživatelů Ashley Madison, jestliže její mateřská firma, společnost Avid Life Media, nevypne inkriminovanou stránku a její sesterskou stránku, Established Men.[2]

Dne 20. července 2015 se na stránkách Ashley Madison objevila tři tisková hlášení oznamující průnik. V ten den také utichl jinak velmi aktivní twitterový účet, spojený s touto stránkou a od té doby se omezil jen na publikování dalších hlášení.[3] V jednom z prvních tiskových prohlášení se říká: „V současné době jsme byli schopni zabezpečit naše webové aplikace a uzavřít veškeré neautorizované přístupové body. Spolupracujeme s donucovacími orgány, které v současnosti vyšetřují tento trestný čin. Všichni zodpovědní za tento čin kyberterorismu budou hnáni k zodpovědnosti. Díky Digital Millennium Copyright Act (DMCA) se našemu týmu podařilo odstranit všechny zveřejněné články na toto téma i identifikační údaje našich uživatelů.“[4] Společnost také zrušila poplatek za smazání účtu.

Dne 21. července hackeři uveřejnili 2500 záznamů o zákaznících, ačkoliv mluvčí stránky Ashley madison to popřel a tvrdil, že byla zveřejněna pouze dvě jména.[5]

Dne 18. srpna 2015 The Impact Team zveřejnil celou databázi na stránku v rámci Dark Web, která je přístupná pouze skrze skryté služby anonymní sítě (Tor)[6] společně s odkazem na archivovaný bitTorrentový soubor obsahující téměř deset gigabajtů dat. Po rozbalení tohoto archivu má databáze téměř šedesát GB dat. Experti potvrdili validitu tohoto souboru[7] a data byla kryptograficky podepsaná[8] veřejným PGP[9] klíčem. Ve zprávě spojené s uveřejněním dat skupina hackerů obvinila společnost Avid Life Media z podvodných praktik: „Ukázali jsme podvody, zákeřnosti a hloupost ALM a jejích členů. Teď mohou všichni vidět jejich data... Smůla ALM, slíbili jste bezpečnost, ale nebyli jste schopní slib dodržet.“[10]

V odpovědi Ashley Madison uveřejnila zprávu na svých stránkách, ve které stojí, že společnost spolupracuje s autoritami na vyšetřování. Firma také odsoudila hackery s tím, že nejsou „hacktivisté“ ale prostí kriminálníci. „Jde o trestný čin vůči jednotlivým členům AshleyMadison.com, stejně jako proti všem volnomyšlenkářským jedincům, kteří chtějí na webu provozovat plně zákonné aktivity. Kriminálník, nebo kriminálníci, zapojení do tohoto činu se pasovali do role samozvaných morálních soudců, poroty i popravčího, kteří považovali vhodné soudit podle svých morálních zásad celou společnost. Nebudeme nečinně sedět a sledovat jak si tito zločinci vynucují svou osobní ideologii na občanech po celém světě.“[11]

Druhý, větší balík dat byl vypuštěn 20. srpna. Tento soubor, který měl při komprimaci téměř 13GB, se skládal především ze soukromých emailů, a to včetně komunikace samotného Noela Bidermana, výkonného ředitele Avid Life Media.[12]

Hesla

Analýza hesel prokázala, že nejčastěji používanými hesly jsou „123456“ a „password“.[13]

Mravní debata

Po uveřejnění hacku, skupiny bdělých veřejných ochránců morálky prochází data a hledají známé osobnosti, aby je mohli veřejně ponížit.[14][15][16][17] V databázi bylo nalezeno několik tisíc emailů z domén .mil a .gov, vyhrazených pro armádu spojených států a americké úředníky, případně politiky.

Mnoho obránců internetového soukromí debatovalo o etice médií, která zveřejnila data známých osobností. Několik komentátorů přirovnalo tento únik k úniku fotek celebrit z roku 2014.[18][19]

Reference

V tomto článku byl použit překlad textu z článku Ashley Madison data breach na anglické Wikipedii.

  1. Thomsen, Simon. Extramarital affair website Ashley Madison has been hacked and attackers are threatening to leak data online [online]. 20 Jul 2015 [cit. 2015-07-21]. Dostupné online. (anglicky) 
  2. Online Cheating Site AshleyMadison Hacked [online]. krebsonsecurity.com, July 15, 2015 [cit. 2015-07-20]. Dostupné online. (anglicky) 
  3. Ashley Madison [online]. [cit. 2015-08-20]. Dostupné online. (anglicky) 
  4. STATEMENT FROM AVID LIFE MEDIA, INC.. media.ashleymadison.com. Ashley Madison, 20 July 2015. Dostupné v archivu pořízeném dne 2015-07-21. (anglicky) 
  5. Alex Hern. Ashley Madison customer service in meltdown as site battles hack fallout [online]. Dostupné online. (anglicky) 
  6. Alex Hern. Ashley Madison hack: your questions answered [online]. Dostupné online. (anglicky) 
  7. Ashley Madison condemns attack as experts say hacked database is real [online]. 19 August 2015 [cit. 2015-08-19]. Dostupné online. (anglicky) 
  8. No, You Can't Hire A Hacker To Erase You From The Ashley Madison Leak [online]. Dostupné online. (anglicky) 
  9. Include Security. Include Security Blog - As the ROT13 turns….: A light-weight forensic analysis of the AshleyMadison Hack [online]. Dostupné online. (anglicky) 
  10. Hackers Finally Post Stolen Ashley Madison Data [online]. 18 August 2015 [cit. 2015-08-19]. Dostupné online. (anglicky) 
  11. Statement from Avid Life Media Inc. – August 18, 2015. media.ashleymadison.com. Ashley Madison, August 18, 2015. Dostupné v archivu pořízeném dne 2015-08-19. (anglicky) 
  12. Jose Pagliery. Hackers expose Ashley Madison CEO's emails [online]. 20 August 2015. Dostupné online. (anglicky) 
  13. Include Security. Include Security Blog - As the ROT13 turns….: A light-weight forensic analysis of the AshleyMadison Hack [online]. [cit. 2015-08-20]. Dostupné online. (anglicky) 
  14. Early Notes on the Ashley Madison Hack [online]. [cit. 2015-08-20]. Dostupné v archivu pořízeném dne 2015-08-21. (anglicky) 
  15. In the wake of Ashley Madison, towards a journalism ethics of using hacked documents [online]. [cit. 2015-08-20]. Dostupné online. (anglicky) 
  16. Ashley Madison hack: The ethics of naming users - Fortune [online]. [cit. 2015-08-20]. Dostupné online. (anglicky) 
  17. Jon Ronson And Public Shaming [online]. Dostupné online. (anglicky) 
  18. Ashley Madison hack: The depressing rise of the 'moral' hacker [online]. 20 August 2015. Dostupné online. (anglicky) 
  19. As our own privacy becomes easier to invade, are we losing our taste for celebrity sleaze? [online]. Dostupné online. (anglicky) 

Zdroj