Odstop izvršnega direktorja in druge posledice vdora v Ashley Madison

Matej Huš

29. avg 2015 ob 11:58:16

Kot je bilo pričakovati, so posledice vdora v spletno stran Ashley Madison in objava podatkov vseh njenih strank precej bolj eksplozivne od ostalih hekerskih napadov na različne internetne strani. Medtem ko pri običajnih vdorih največjo težavo povzročajo razkrita gesla, kadar niso bila ustrezno šifrirana, in številke kreditnih kartic, je pri Ashley Madison nevšečen katerikoli podatek, ki omogoča enolično identifikacijo uporabnika.

Pravzaprav je nekoliko ironično, da so pri Ashley Madison naredili domačo nalogo, kar se tiče varovanja gesel. Ta so bila zaščitena z zgoščevalno funkcijo bcrypt in z ustreznim semenom (salted hash), zato jih velike večine ne bodo uspeli razbiti. Dean Pierce se je iz akademskih razlogov lotil iskanja najpogostejših gesel in jih je uspel zlomiti le 0,07 odstotka, pri katerih gre za izrazito nespametna gesla (123456, password ipd.).

V javnosti se že pojavljajo čisto realne zgodbe, kako so razkritih podatki o članih Ashley Madison povzročili razpade zvez. Ironično je, da velika večina uporabnikov strani ostala pri virtualni uporabi in so torej plačali za fantazijo, saj je bila ogromna večina uporabnikov Ashley Madison moških. Še tistih nekaj žensk, ki so se prijavile, pa je to storilo iz radovednosti in strani niso redno uporabljale. Ocenjujejo, da je od 37 milijonov profilov le 12.000 aktivnih žensk (skupno jih je 5,5 milijona, a so v glavnem neaktivni računi in lažni računi).

Nekateri uporabniki so že postali žrtve izsiljevanj, saj izsiljevalci v zameno za molk zahtevajo bitcoine, sicer pa grozijo z razkritjem soprogam. Poleg neposrednih izsiljevanj se je povečala možnost za krajo identitete, saj lahko vsakdo s pridom izrabi 37 milijonov osebnih podatkov, ki so na ogled celotnemu svetu. Potem so tu še klasični napadi, kjer hekerji izrabijo splošno zanimanje za vdor in domnevno ponujajo strani in orodja za ogled baze Ashley Madison, v resnici pa naivne obiskovalce usmerijo na zlonamerno spletno stran in jim podtaknejo viruse.

Težav pa nimajo le uporabniki, temveč tudi lastniki strani. Ashley Madison je svojim uporabnikom proti plačilu 19 dolarjev obljubljala popoln izbris vseh z njimi povezanih podatkov. Analiza, ki jo je izvedel The Register, jih postavlja na laž. Resda so izbrisali ime, priimek in elektronski naslov, vseh podatkov pa še zdaleč ne. Med najbolj problematičnimi so GPS-koordinate uporabnika, če je stran uporabljal z mobilnega telefona. Zaradi tega je Avid Life Media (lastnik strani) že tarča tožbenega zahtevka v Kanadi, od koder je podjetje.

Izvršni direktor Noel Biderman je zaradi fiaska odstopil s funkcije v ALM in Ashley Madison. Iz podjetja so še sporočili, da sodelujejo z organi pregona v lovu na hekerje. Pod velikim vprašanjem je sedaj za letos načrtovana javna ponudba delnic, s katero so želeli zbrati 200 milijonov dolarjev svežega kapitala.

In kdo je napadel Ashley Madison? Hekerji so si dali ime Impact Team, nihče pa še ne ve, kdo to je. Brian Krebs na podlagi nekaterih objav na Twitterju špekulira, da bi lahko šlo za Thadeusa Zuja. Opozarja, da je Zu zelo verjetno nekako povezan z napadom, ni pa jasno kako in ni nujno, da ga je izvedel.