Тайное становится явным, или Драматическая история миллионов адюльтеров
В июле сайт Ashley Madison подвергся атаке хакерской группы The Impact Team, в результате чего последними была получена практически вся база пользователей сайта. Сначала хакеры требовали закрыть сайт, шантажируя угрозой публикации этих данных. Когда же администрация сайта не поддалась на шантаж, данные действительно попали в интернет, откуда их, как известно, уже не вырубишь топором. И эта история не была бы такой уж интересной, если бы сайт Ashley Madison не был местом знакомств, специализирующимся на супружеских изменах.
История
Этот канадский сайт был основан в 2001 году как место для поиска свиданий и социальная сеть, с упором на поиск любовниц и любовников. Девиз сайта: «Жизнь коротка — заведи интрижку». Название сайта было составлено из двух популярных женских имён. Ресурс принадлежит компании Avid Life Media, которой владеет канадский интернет-предприниматель Ноэль Байдерман.
Сайт постепенно стал весьма популярным — в 2015 году, по статистике независимого счётчика, его посещали более 124 миллионов человек ежемесячно, и в списке сайтов для взрослых он поднимался до 18 места (да, он неплохо себя чувствовал даже в рейтинге сайтов типа pornhub и xvideos). Сейчас в этом рейтинге он уже на 30-м месте.
Всего на сайте к лету 2015-го было зарегистрировано порядка 39 млн. пользователей из 53 стран, а интерфейс сайта был доступен на 25 языках (включая русский). Большую часть пользователей составляли жители США и Канады. За всю историю развития сайта только один Сингапур запретил выходить проекту на свой рынок. Совет по развитию СМИ Сингапура отверг проект, как «пропагандирующий супружеские измены и принижающий семейные ценности».
Сайт не взимал ежемесячную оплату — вместо этого он проводил монетизацию, продавая внутрисистемные «кредиты». Кредитами было необходимо расплачиваться за право начать разговор с потенциальной «парой», причём разговоры были ограничены по времени. Оплата взималась только с мужчин. Если женщина инициировала чат с мужчиной, тому требовалось потратить кредиты для ответа на него. Кроме этого, компания взимала деньги за удаление учётных записей из системы.
Взлом
12 июля пока остающиеся неизвестными хакеры получили несанкционированный доступ к базе данных, и смогли извлечь оттуда практически всё — адреса электронной почты, имена, домашние адреса и телефоны, сексуальные предпочтения и данные по платежам (за исключением номеров кредиток), даты рождения, физические параметры и секретные вопросы. Некоторые сотрудники Avid Life узнали об этом, включив с утра свои компьютеры и получив сообщение от хакеров, сопровождавшееся песней AC/DC «Thunderstruck»
Шантажируя владельцев сайта и требуя его закрытия, хакеры обнародовали некоторую часть данных. Но договориться с владельцами не удалось — и 20 августа взломщики выложили базу в открытый доступ. Её легко обнаружить поиском по названию сайта.
Конфиденциальность и данные
Примечательно, что среди обнародованных данных были обнаружены и те аккаунты, что числились «удалёнными» — причём за удаление аккаунта система требовала с пользователя оплаты суммы в $19. Даже если ваш аккаунт на сайте регистрировали ваши друзья в целях пошутить над вами — удаление таких учётных записей всё равно требовалось оплачивать. Но, очевидно, удаление заключалось лишь в особой пометке записи в базе данных, поскольку вся эта информация всё равно стала доступна общественности.
18 августа хакеры сдержали слово и выложили дамп базы, который впервые появился на скрытом сервисе Tor. База объёмом около 10 Гб (в сжатом виде) содержит информацию о 32 миллионах пользователей, в том числе историю платежей, которую можно отследить до 2008 года. Исследователи уже обнаружили, что порядка 15000 e-mail адресов в базе имеют домены .mil или .gov. Содержащиеся в базе пароли, судя по всему, были захешированы при помощи bcrypt —, но по отзывам специалистов по безопасности, всегда есть возможность, что эти пароли будут взломаны, и тогда у ещё работающих учётных записей можно будет вытянуть всю историю переписки.
Роясь в данных, вездесущие пользователи ресурса 4chan раскопали, в частности, несколько записей, принадлежащим членам британского правительства и Министерства обороны США (к сожалению, эта ветка обсуждений была удалена с ресурса).
Проанализировав почти 3 Гб (в распакованном виде) файлов, в которых хранятся все финансовые транзакции, корреспондент The Virge построил красивый график, отображающий финансовую активность пользователей сайта
Кроме того, среди утёкших данных нашлась информация и о самой компании. Это, в частности, paypal-аккаунты директоров, данные для доступа в сетевой домен Windows сотрудников компании и огромное количество документов из внутреннего документооборота (контракты, графики, отчёты, презентации, переписка, итоги продаж и проч). Эти документы только подтверждают достоверность происшествия, и таят в себе ещё много интересного.
Например, порывшись в них, репортёры BuzzFeed уже выяснили, что одна только процедура платного удаления аккаунта, которая на самом деле не удаляла данные из базы, принесла компании $1,7 млн. в одном лишь 2014 году.
Кроме этого, компания заработала $2 млн., взимая отдельную абонентскую плату за использование сайта с мобильных устройств, и $600 тысяч — за возможность путешествующим пользователям менять своё местоположение, чтобы завязать интрижку в том месте, где они в данный момент находились.
Иронично смотрится информация, почёрпнутая из утекшей переписки руководства компании. Главный инженер, Раджа Батия, общался с владельцем компании Байдерманом на тему возможной покупки ресурса nerve.com, онлайн-журнала, посвящённого вопросам секса, взаимоотношений и культуры. nerve.com пытался ввести у себя аналогичный сервис знакомств для взрослых.
Через несколько месяцев после предложения о покупке nerve.com, Батия сообщил Байдерману, что он нашёл в сайте nerve.com уязвимость, благодаря чему он получил полный доступ к базе данных ресурса. Из переписки неясно, сообщили ли в результате владельцы Avid Life Media хозяевам nerve.com об этой уязвимости. Зато упоминается, что Байдерман обрадовался возможности слить базу данных клиентов у конкурента.
В переписке удалось даже найти сценарий фильма, который канадский предприниматель писал совместно с другим автором. PDF со сценарием фильма под названием «In Bed With Ashley Madison» был найден в письме, датированным январём 2012 года.
Результаты
Компания Avid Life Media пыталась всеми силами замять скандал: например, отправляла жалобы в Twitter на посты, содержавшие информацию из потерянной базы.
Естественно, такое шило не получится утаить ни в каком мешке, и последствия слабостей регистрировавшихся там людей будут преследовать их очень долго. Даже если на самом деле кроме регистрации на ресурсе человек не сделал ничего плохого — как отнесутся к нему работодатели, если найдут его данные в базе? Служба безопасности банка? Что будут делать чиновники, учителя, директора крупных компаний, когда их участие в ресурсе получит огласку? Не говоря уже о том, что число разводов этой осенью должно будет серьёзно подскочить. Адвокаты, специализирующиеся на разводах, уже планируют свои сверхприбыли.
Последствия могут быть самыми разными. Например, согласно правилам Uniform Code of Military Justice в США (своду законов, по которым действуют военные), супружеская измена приравнивается к тяжким преступлениям, и подобные случаи могут быть использованы для усиления наказания, будучи добавленными к остальным нарушениям.
Один из пользователей Reddit утверждает, что он гей, живущий в Саудовской Аравии — стране, где гомосексуализм карается смертной казнью (да не простой, а закидыванием камнями). Он пишет, что в связи с этой утечкой уже запланировал своё бегство из страны.
Самой же компании Avid Life Media, скорее всего, грозит банкротство — не столько от самого скандала, уронившего популярность сайта, сколько от бесконечной череды судебных исков, которые наверняка последуют вслед за происшествием. Две канадские адвокатские фирмы уже подали иск на более чем полмиллиона долларов от лица пострадавших канадских пользователей сайта.
Ушлые проходимцы уже увидели возможность подзаработать на этом при помощи шантажа — один за другим происходят случаи вымогательства. Шантажисты угрожают разыскать супругу (или супруга) человека, чьи данные оказались в базе сайта, если жертва не заплатит им за молчание. Плату шантажисты требуют в биткоинах.
Возможно, что в результате таких действий, или же под впечатлением от самой утечки, уже два человека в Торонто совершили самоубийства, стремясь избежать будущего позора (эта информация пока не подтверждена окончательно).
Полиция приступила к розыску лиц, причастных к взлому и утечке данных. Уже стало известно, что человек, выкладывавший оригинальные данные в сеть для раздачи через торренты, немного накосячил с виртуальным сервером, который был поднят специально для этого — и, возможно, через этот сервер можно будет выйти и на него.
Владелец ресурса, компания Avid Life Media, со своей стороны уже предложила награду в полмиллиона канадских долларов тому, кто поспособствует поимке загадочных хакеров.
Тем временем, в сети уже появились специальные сайты, на которых можно проверить, присутствует ли ваш e-mail в базе данных ресурса.
За полгода до этого события в сеть утекла база данных другого секс-ресурса, AdultFriendFinder. Тогда в интернет попали данные почти 4 миллионов учётных записей.