Закон кармы: годовщина со взлома Ashley Madison — сайта для изменников

Год назад произошел масштабный взлом, который оказал глубокое влияние на жизни людей, пострадавших от утечки данных, а также похоронил под собой многообещающий, хотя и неоднозначный бизнес.

Неизвестная группировка, назвавшая себя Impact Team, взломала канадский сайт знакомств для женатых людей Ashley Madison, слив в открытый доступ данные более 37 миллионов пользователей из 40 стран мира, исходный код сайта, а также внутреннюю переписку первых лиц компании. Это событие радикально поменяло жизнь многих людей — и привлекло к жертвам внимание мошенников, решивших дополнительно нажиться на пользователях сайта.

Они сами напросились

Хотя взломщики обычно похищают данные с целью их дальнейшей перепродажи, в случае с Ashley Madison злоумышленники, как оказалось, не хотели денег — они требовали «справедливости».

Сначала руководство компании Avid Life Media, владеющей Ashley Madison, получило сообщение от группировки Impact Team, в котором хакеры сообщили о взломе трех сайтов, принадлежащих компании, и о своем единственном требовании — закрытии «непристойных» сайтов под угрозой публикации данных пользователей ресурса. Компания не выполнила требования шантажистов, и спустя месяц группировка реализовала свою угрозу.

Многие пользователи запаниковали, боясь не столько компрометации кредиток, сколько раскрытия интрижек и публикации интимных фото. Исследователи тем временем засучили рукава и приступили к анализу исходного кода сайта, очень быстро обнаружив немало любопытных вещей.

Во-первых, оказалось, что исходный код Ashley Madison содержал несколько слабых мест, позволивших взломщикам с легкостью перемещаться по инфраструктуре сайта после проникновения за «защитный периметр». Во-вторых, анализ показал слабость требований сайта к паролям: используемые пользователями комбинации включали от пяти до восьми знаков и не более двух видов символов.

Опять про Ashley Madison. На этот раз эксперты изучили исходники сервиса и говорят, что там все плохо: https://t.co/3n8wl9i2TV

— Kaspersky (@Kaspersky_ru) September 10, 2015

После того как все покровы были сорваны, Avid Life Media и ее клиентам пришлось жить с последствиями — масштабными и неоднозначными, а также намного более серьезными, чем эффекты от утечек в других, даже самых популярных сервисах.

Убытки, потеря репутации, разрушение надежд: последствия утечки для компании

В подавляющем большинстве случаев реакцией общественности на утечку стало злорадство — в глазах многих компания, построившая свой бизнес на обмане супругов и разрушении браков, получила по заслугам. Затем последовал анализ данных, выложенных хакерами на всеобщее обозрение, включая конфиденциальные внутрикорпоративные сведения. Результаты разозлили уже самих пользователей.

Ребята, угнавшие данные у сайта Ashley Madison, продолжают веселье: выложили переписку главы компании — https://t.co/GZ6jP8vx4t

— Kaspersky (@Kaspersky_ru) August 24, 2015

Исследователи выяснили, что рекламные обещания Ashley Madison, привлекшие на сайт десятки миллионов людей, оказались ложью. Во-первых, ресурс обещал своим пользователям «право на забвение» — якобы за дополнительную плату $19 клиент мог полностью и навсегда удалить все данные своего профиля. За год выручка компании от продажи одной только этой услуги составила $1,7 миллиона.

Но на самом деле сервис удалял данные профиля, но не платежные реквизиты, которые содержали реальные имена, номера кредитных карт и точные адреса клиентов. Все это по-прежнему хранилось на серверах. Таким образом, даже регистрируясь под вымышленной личиной, подписчик все-таки делился своим реальным именем с владельцами сайта и не имел возможности удалить эти данные впоследствии.

Дальнейшая работа исследователей подтвердила, что большинство флиртующих женщин на Ashley Madison — не настоящие пользователи, а чат-боты, которые должны были «разговорить» и «завлечь» новичков до такой степени, чтобы те приобрели дополнительные услуги для продолжения знакомства. Эта работа велась компанией целенаправленно и даже учитывала культурные особенности страны пользователя — например, подписчиков «сводили» с представительницами определенной расы.

Кстати, о сайтах знакомств. Тут выяснилось, что большинство женщин на взломанном Ashley Madison — боты: https://t.co/xQMLEdihMV

— Kaspersky (@Kaspersky_ru) September 3, 2015

Бессилие Avid Life Media перед неизвестными и, очевидно, готовыми пойти до конца хакерами стоило компании многого: через несколько месяцев после злосчастного инцидента Avid Life Media хотела выйти на IPO, но шанс заработать $200 миллионов на продаже акций растаял, как только стало известно об инциденте и миллионах «обманутых вкладчиков». Вместо этого компанию ждали многомиллионные судебные иски, аудит и отставка главы компании Ноэля Байдермана.

Инцидент полностью изменил бренд Ashley Madison: по прошествии года с утечки Ashley Madison пришлось обновить свой продукт и даже провести полный ребрендинг. Теперь слоган компании, ранее звучавший как «Жизнь коротка. Заведи интрижку», превратился в «Жизнь коротка. Насладись мгновением». Сервис предпочел откреститься от имиджа «сайта для женатых», стал позиционировать себя как «место для поиска настоящих конфиденциальных отношений между взрослыми людьми без предубеждений».

Разводы, порицание, безысходность: последствия для личной жизни пользователей

В то время как Avid Life Media боролась с последствиями утечки, в отчаянии предлагая награду в $500 тысяч за любые сведения о хакерах, пользователи готовились к непростым временам. В течение первых недель после инцидента отдел пользовательской поддержки Avid Life Media перестал отвечать на тысячи панических запросов и перешел в режим радиомолчания — жертвы остались наедине со своей проблемой.

Бесчисленное количество браков было под угрозой распада, пострадавшие боялись открыться своим женам (или мужьям, в тех редких случаях, когда пользователями Ashley Madison все-таки были женщины), принимали непростые и иногда трагические решения. СМИ докладывали о нескольких попытках самоубийства.

В Сети тем временем ратующие за мораль читатели не уставали стыдить «изменников» и «подлецов», нечасто проявляя сочувствие. Австралийский радиоведущий в прямом эфире сообщил позвонившей слушательнице, что ее муж зарегистрирован на Ashley Madison, а одна из газет в США решила напечатать данные всех жителей штата, изменявших своим партнерам на Ashley Madison.

Последствия взлома Ashley Madison: спам, самоубийства и награда в полмиллиона долларов за сведения о взломщиках — https://t.co/c6vOhqH6kR

— Kaspersky (@Kaspersky_ru) August 25, 2015

Перспектива раскрытия факта измены и публикации интимных фото и сексуальных пристрастий также коснулась тысяч военнослужащих, священнослужителей, знаменитостей, публичных персон и политиков, несущих огромные репутационные риски.

В СМИ поступали сведения о том, что многие представители армии или обладатели государственных должностей регистрировались на сайте с указанием рабочей почты. Несмотря на то что эти сведения не всегда подтверждались, слухи бросили тень на различные учреждения, вплоть до офиса премьер-министра Великобритании.

Шантаж, спам, фишинг: последствия взлома с точки зрения информационной безопасности

Злоумышленники, стоявшие за взломом, отличались от обычных хакерских группировок, промышляющих кражей и перепродажей данных. Но каковы бы ни были мотивы Impact Team, другие киберпреступники не преминули воспользоваться ситуацией.

Прежде всего над пострадавшими нависла угроза мошеннических операций с кредитными картами: хотя пользователи «шифровались» и регистрировали аккаунты под псевдонимами, они использовали реальные имена, адреса и номера кредитных карт для оплаты услуг и дополнительных возможностей. Хотя слитая база данных вроде бы не содержала полных номеров кредиток, в некоторых случаях четырех последних цифр было достаточно, чтобы восстановить номер. С помощью этих данных злоумышленники могли украсть у жертв деньги или совершить покупки за их счет.

Хакерам удалось восстановить 11 млн. паролей из зашифрованных данных, утекших с серверов сайта Ashley Madison: https://t.co/muDWGusTrZ

— Kaspersky (@Kaspersky_ru) September 11, 2015

Махинации с кредитками в случае с Ashley Madison не были единственным способом обогащения киберпреступников. Завладев личными данными, злоумышленники связывались с жертвами и угрожали рассказать семьям и работодателям об их «интрижках» или показать инкриминирующие фото и переписку друзьям с Facebook или коллегам с LinkedIn. Пытаясь скрыть порочащие их сведения, жертвы были готовы заплатить выкуп, но никаких гарантий того, что вымогатели не исполнят свои угрозы, у них не было, равно как и желания заявить на шантажистов в полицию.

Такие операции проворачивают до сих пор. Один из читателей газеты New Jersey недавно поделился историей из жизни при условии сохранения анонимности. «Мистер Смит» развелся с женой и зарегистрировался на Ashley Madison под своим настоящим именем и номером кредитной карты. Позднее ему пришло письмо от шантажистов, заявивших, что в их руках находятся его личная переписка с Ashley Madison, банковские данные и много чего еще.

«У нас есть доступ к вашей странице в Facebook. Если вы не хотите, чтобы всю эту грязь увидели ваши друзья, члены семьи и супруга, заплатите мне 5 биткойнов (почти $3300)… У вас 24 часа, — говорилось в письме злоумышленников. — Вспомните, как дорого стоят услуги адвоката по разводу. Если вы больше не состоите в долгосрочных отношениях, подумайте, как на эти новости отреагируют ваши друзья».

Так как герой этой истории не считает, что он совершил что-либо предосудительное, «мистер Смит» решил поделиться информацией с миром и отказался платить шантажистам. Как этот вопрос решали другие жертвы, известно только им и мошенникам.

https://twitter.com/ChangeCU/status/755973027049766912

Как только крупные СМИ подхватили известия о взломе «сайта для изменников», жены по всему миру обеспокоились не меньше самих любителей адюльтера. Желание «обманутых» сторон узнать правду об измене, а также стремление «обманщиков» проверить, попали ли они «под раздачу», спровоцировало интерес к сайтам, предлагавшим платный поиск по утекшей базе данных пользователей Ashley Madison.

У создателей этих сайтов были разные цели. Учитывая повышенный интерес к утечке, желающие узнать правду из подобных «поисковых систем» рисковали стать жертвами спамерских и фишинговых атак. Мошенники легко могли создать такой сайт-однодневку, чтобы собрать реальные почтовые адреса для фишинга и другого мошенничества. Когда человек вводил в поисковую строку реальный email своего супруга или супруги, адрес тут же попадал к неизвестным «благожелателям», способным использовать полученные данные для спам-рассылок.

Уроки на будущее

После взлома Ashley Madison прошел ровно год, и за это время мы неоднократно слышали о крупных утечках и их последствиях. Однако взлом Ashley Madison затронул что-то более личное, глубокое и важное, чем номера кредитных карт или пароли: истории, абсолютно не предназначенные для чужих глаз, стали достоянием общественности.

Некоторые утечки оказывают долгосрочный эффект как на сам сервис, так и на жизнь его пользователей. Например, можно только представить, какую опасность может представлять условный инструмент, сопоставляющий данные утечки из Ashley Madison и информацию, скомпрометированную в результате другого масштабного происшествия — взлома United States Office of Personnel Management. Утечка из кадровой службы американского правительства поставила под угрозу персональную информацию тысяч госслужащих США, включая тех, кто имел доступ к засекреченной информации.

Пользователи Ashley Madison до сих пор страдают от мошенников

Tweet

В данный момент известно о трех громких судебных исках, поданных против Avid Life Media, но последовавшие за разоблачением тихие бракоразводные процессы не привлекли общественного внимания. Миллионы пользователей до сих пор рискуют не только данными, но и семейными отношениями и продолжают жить в страхе быть раскрытыми. Даже сама компания Avid Life Media, подававшая большие надежды до середины 2015 года, была вынуждена сменить вектор своего развития и будет справляться с последствиями утечки еще несколько лет.

Стоит ли использовать сервисы, открыто призывающие к адюльтеру или знакомствам «на одну ночь», — личное дело каждого. Но, как и всегда, мы вынуждены предупредить тех, кто выбирает этот путь. И холостые, и состоящие в браке любители тайных онлайн-знакомств или виртуального секса рискуют больше всех других пользователей Интернета — не только своими данными, но и репутацией. А серьезность угрозы развязывает руки преступникам, применяющим особо грязные техники вроде шантажа и вымогательства.

Несколько советов тем, кто ходит на сайты знакомств, всякие шопы и прочие интересные места: https://t.co/ZQJPqttM14 pic.twitter.com/BzZe05eFlN

— Kaspersky (@Kaspersky_ru) September 3, 2015

Если вы все-таки приняли решение окунуться в мир онлайн-интрижек, помните о базовых мерах безопасности, которые помогут снизить ущерб от возможной утечки:

• Сайты знакомств, а также ресурсы, связанные с продажей секс-товаров, обычно слабо защищены, и поэтому пользователи должны сами позаботиться о своей безопасности. Старайтесь оплачивать услуги при помощи наличных или подарочных сертификатов, а также не указывайте в профиле реальный адрес.

• Не обменивайтесь интимными фото, даже если ваш собеседник (собеседница) настаивает на этом. В онлайн-мире никто не застрахован от утечки, поэтому рассматривайте самые худшие варианты развития событий и возможные последствия.

• Не используйте для регистрации рабочий email-адрес. Определив место работы, хакеры могут использовать утечку как повод для шантажа под угрозой раскрытия интимной информации работодателю или для атак с применением средств социальной инженерии.

• Основной email тоже лучше приберечь для общения с друзьями и управления учетными записями в Facebook или «ВКонтакте». Вместо этого заведите запасной email — просто на всякий случай.

Драгоценная почта: почему некоторые аккаунты надо беречь как следует — http://t.co/sez77YVlJF

— Kaspersky (@Kaspersky_ru) October 6, 2014

• Если вы хотите добиться максимальной конфиденциальности, не регистрируйтесь под реальным именем и, конечно же, не используйте для авторизации аккаунты соцсетей — этим вы многократно повышаете риск оказаться жертвой мошенничества или шантажа.

• Если вы все-таки стали жертвой утечки, не ведитесь на уловки «доброжелателей», предлагающих найти ваши данные при помощи специального сайта, — вас могут обманывать. Для безопасного поиска сведений о скомпрометированных данных можно воспользоваться ресурсом HaveIBeenPwned? «белого хакера» Троя Ханта.

• Если ваши данные были скомпрометированы, позаботьтесь о смене паролей к другим онлайн-ресурсам — хакеры знают о такой вредной привычке, как повторное использование паролей. Если вы этого не сделаете, они могут взломать ваши аккаунты в Facebook и LinkedIn или, хуже того, вашу почту. Не помешает и блокировка кредитной карты с последующим перевыпуском.

• И, главное, постарайтесь всегда вести переписку так, как будто взлом может произойти когда угодно, — к сожалению, в мире информационной безопасности вопрос утечки — не «если», а «когда».