Hakerzy na straży monogamii. Wyciekły dane milionów zdradzających internautów

O autorze

Maciej Olanicki

@b.munro

Na dziobie okrętu. Stawia znaczące nad znaczonym, lubi czapki z daszkiem, teorię gier, tłumaczenia maszynowe i karabiny maszynowe.

Ashley Madison to witryna o dość nietypowym profilu – na pierwszy rzut oka sprawia wrażenie typowego serwisu randkowego, jednak już po zwróceniu uwagi na slogan, można domyślić się prawdziwego charakteru strony. Motto życie jest krótkie, pozwól sobie na romans dość dobrze opisuje mechanizm działania Ashley Madison: oferuje on osobom zaangażowanym w stałe związki nawiązanie kontaktów z ludźmi, którzy „wyrwą” ich z monogamii. Problem w tym, że Ashley Madison zostało zhakowane.

Serwis może się pochwalić około 120 mln wizyt miesięczne. We wtorek opublikowano w Sieci zbiór informacji o około 32 milionach użytkowników. Oprócz szczegółowych danych zawartych w profilach użytkowników, w paczce o wielkości 9,7 GB znalazły się także dane logowania, numery telefonów oraz historie transakcji dokonywanych na Ashley Madison.

Atak oraz publikacja danych jest efektem braku reakcji właścicieli Ashley Madison na żądania odpowiedzialnej za atak grupy Impact Team. Do publikacji danych nie doszłoby, gdyby odpowiedzialna za rozwijanie serwisu firma Avid Life Media zamknęła go, oraz stronę jemu podobną – Established Men, służącą poniekąd do nawiązywania relacji na zasadach zbliżonych do sponsoringu. Co ciekawe, hakerzy nie zażądali wyłączenia trzeciego serwisu prowadzonego przez Avid Life Media, CougarLife, który łączy dojrzałe kobiety z młodszymi mężczyznami.

Impact Team jasno określił swoje motywacje: akcja miała być wycelowana przede wszystkim w model biznesowy Ashley Madison, który zakładał czerpanie zysków z umożliwiania internautom zdrad. Ofiarami w tym przypadku są przeciętni zjadacze chleba, jednak hakerzy utrzymują, że ich celem jest zaszkodzenie firmie, która obiecując swoim użytkownikom dyskrecję, nie jest w stanie jej zagwarantować.

Wyciek tak dużej ilości danych jest tym bardziej zaskakujący, że serwis rzeczywiście korzystał z dość skutecznej metody chronienia danych swoich użytkowników. Do zabezpieczania haseł wykorzystywana była funkcja skrótu z algorytmu bcrypt, oparta na szyfrze blokowym Blowfish. W porównaniu z najczęściej stosowanymi funkcjami MD5 jest to znacznie mniej oczywiste rozwiązanie, nie na tyle jednak, aby skutecznie zabezpieczyć dane z Ashley Madison.

Fakt ataku może mieć oczywiście bardzo nieprzyjemne skutki dla milionów osób. Avid Life Media poinformowała już, że procedury bezpieczeństwa zostały zaktualizowane i serwis nie jest już rzekomo podatny na atak. To z całą pewnością mierne pocieszenie dla poszkodowanych i można się spodziewać, że w wyniku działalności Impact Team, samozwańczych obrońców moralności, nastąpi wysyp pozwów sądowych wobec Avid Life Media. Jak widać, nie wszystkie zaangażowane w wydumaną ideologiczną walkę strony pamiętają o tym, aby po pierwsze nie szkodzić. Zwłaszcza, że bezpośrednimi ofiarami ataki nie są wielkie korporacje wyzyskujące swoich klientów, a sami klienci.