Ashley Madison: En skål med honung för personer som hade något att dölja

Mindre än 28 dagar efter att ha hackat besättning Impact Team hotade Ashley Madison moderbolag Avid Life Media med en utan gränser databas dump, höll laget sitt löfte och publicerade motherlode av doxes på en darknet plats denna vecka.

Reality check: “Ett dussin olika Barack Obama e-post”

Säkerhet, Chrome att starta märkning HTTP-anslutningar som osäkra, säkerhet, The Hyperledger Project växer som gangbusters, säkerhet, Nu kan du köpa ett USB-minne som förstör allt i sin väg, säkerhet, Kostnaden för Ransomware attacker: $ 1 miljard år

Det är faktiskt svårt att tro denna hacka och dumpa inte hända förr. Ashley Madison, ALM flaggskepp webbplats, var i stort sett världens största honeypot för människor som hade något att dölja.

Det är en hög profil smash and grab för ett lag med noll tidigare erövringar till sitt namn. Aktuella uppskattningar den på 37 miljoner poster totalt, med en storlek på cirka 10 spelningar (komprimerat). I jämförelse höll Target hacka 110 miljoner kundregister, veckans största brott, web.com, utsätts uppskattningsvis 93.000 kreditkortsuppgifter.

Genom sin natur, Ashley Madison var en magnet för falska konton.

The Hill rapporterar att Washington är D.C. kommer upp som nummer ett stad för medlemskap, och att “15 tusen av de e-postadresser som används för att registrera konton fanns på USA: s regering och militära servrar.” Top företags domäner sett i mörkret webb dumpa inkluderar Microsoft, Apple, Cisco, Bank of America, och BP.

Men det är osannolikt att någon kommer att uppskatta mängden av falska adresser i dump – och det finns gott. Ashley Madison inte kontrollera e-postadresser, och massor av människor skapade dummy konton för att kolla in platsen.

Till exempel, det finns över ett dussin fall av “Barack Obama e-post” i soptippen.

Robert Hansen, VP av Whitehat Labs för WhiteHat Security berättade DarkReading, “Jag har hittat en massa falska poster i här, så alla dessa data bör tas med en nypa salt. Det verkar inte som de normaliserade eller kontrolleras att se till att e-post var giltiga innan de lagras i databasen. så är Barack Obama i här under ett dussin olika e-post som ett exempel, som är en hel del andra som är uppenbart felaktigt. ”

Fortfarande, panik och utfodring ursinne är nu i full gång.

Platser för offentlig sökning av Ashley Madison / ALM drag som WasHeOnAshleyMadison.com börjat förbereda nätet redan i juli 29. Säkerhet forskare Troy Hunt rapporterar i dag att han ser över 30.000 besökare en timme att hans brott verifieringstjänst, haveibeenpwned.com.

Noel Biderman, VD för Avid Life Media, en gång beskrev företagets servrar som “typ av oberörbar.”

Impact Team enligt ett tidigt uttalande att de utförde den brutala hacka och dumpa på Avid Life Media eftersom företaget “vinster på andras smärta” – vilket verkar vara den enda punkten Avid har erkänt i sina uttalanden i media. Ändå Impact lagets första inlägg betonade ALM säkerhets brister, säger “För ett företag vars huvudsakliga löfte är sekretess, det är som du inte ens försöka, som du trodde att du aldrig förbannad någon.

Impact Team uttalande som åtföljer denna veckas nedgång tydligt säger att de är straffa ALM för att lura användare om säkerhet. “Hitta dig själv i här? Det var [Avid Life Media] som misslyckades dig och ljög för dig.”

Och vi upptäcker att Avid Life Media verkligen spelade snabbt och löst med användarnas förtroende – soptippen visar att trots att sälja ett “konto radering” service, företaget faktiskt inte ta bort användarprofiler. Forskaren Robert Graham fann så många som 250.000 “raderade” konton i draget.

Hackare tros vara ansvarig har hotat att släppa användardata för varje dag på webbplatsen är live.

Ändå så mycket som Impact Team manifest tillspetsat utsätter Avid Life Medias egna frågor runt hålla löften i relationer, de enda personer som verkligen är ont här är webbplatsens användare.

Användarna, ofta betecknas som fuskare, vars primära brist verkar vara att anmäla sig till en plats som marknadsförs framgångsrikt som en hookup hot spot för monogama, samarbetar människor att bryta deras förhållande kontrakt.

Medan Ashley Madison marknadsföring överklagande gångjärn på otrohet, skulle beskriva helheten av sina användare som raka fuskare vara felaktig. Västländer är utbredd med raka swingers, och någons relation regler är endast synlig när vi ber (men faktiskt, det är ingen av vår verksamhet).

Om vi ​​skulle beskriva platsen i start jargong, platserna var i grund och botten en Grindr för raka identifierade personer, som söker NSA (No Strings Attached kön) – om dess väl trampade korridorer var inte främmande för samkönade kopplingar.

dålig kontakt

I ett exempel på den skada efter kön webbplats brott, samt “riktiga namn” politik, tidigt nyheten om hacka på Ashley Madison uppmanas denna Reddit inlägg, jag (enda homosexuell man från Saudiarabien) Kan stenas till döds om Ashley Madison poster läckt ut.

Jag studerade i Amerika de senaste åren och används Ashley Madison under den tiden “, skrev den anonyma affischen den 25 juli.” Jag var singel, men använde det för att jag är gay, gay sex är straffbart med döden i mitt hemland så jag ville hålla mina uppkopplingar extremt diskret. Jag bara använde AM att ansluta sig till enstaka killar.

Dessa farhågor är berättigade. Som ett av de 10 länder där homosexualitet kan vara straffbart med döden, har Saudiarabien genomförs 100 avrättningar sedan början av 2015, har extrema straff för homosexualitet, och landet är starkt beroende av internet övervakning för att spåra upp medborgare och genomdriva sin underskrift godtycklig gripanden.

Dessa tio länder är inte alltför förtjust i fusk raka folks, heller.

Nu, med tillstånd av rubriker blaring att vem som helst kan söka soptippen, myndigheterna i något av dessa länder kan se användarprofil register som kan innehålla så mycket som en användares namn, e-postadress, lösenord (hash), språk som talas, rökning, sexuella gränser, preferenser, Tänder, längd, vikt, adresser, kontoaktivitetsloggar, och anges plats. Några av de register omfattar GPS-koordinater.

Samtidigt, eftersom Ashley Madison servrar marknadsfördes som en veritabel skål med honung för hycklare, det naturligtvis lockade många.

Den första offentlig person konstaterats vara i soptippen är ingen annan än Josh Duggar, som hjälpte till att leda Family Research Council: s “mars för äktenskap” och verkar ha spenderat ungefär $ 1000 på Ashley Madison tjänster.

– Mike Stabile (@mikestabile) 20 augusti 2015

Jag tror att vi kan förvänta oss fler historier som denna i de kommande dagarna – “. Framgångsrikt bort alla tjänster i samband med denna händelse” trots Avid Life Media ‘påstående att det

Ja visst.

Fortfarande, en skål med honung för hycklare

Takeaways från “Ashley Madison hacka” är inte självklart.

Det är inte en väckarklocka om ett privatliv apokalyps, vi hade att för länge sedan.

Det är inte en väckarklocka om företag lura oss om att skydda vår privata information, vi passerade att mil markör i den sista halvklotet.

Och det är verkligen inte en väckarklocka om relationen moral, eller “familjevärderingar” hycklare, det är en daterad, jokey refräng vi vet utantill.

Vad detta över-hyped brott har är en varning om var vi är på ansvarsfullt förvaltarskap i identitetshantering: Om Ashley Madison var en skål med honung för personer som hade något att dölja, är detta brott en hink med kallt vatten om webbplatser som tryggar våra hemligheter.

Det är ett exempel på det värsta som kan hända när människor litar internetföretag med information som de hellre hålla privat.

Et tu, Facebook?

Den här artikeln har uppdaterats för att korrigera antalet exponerade Web.com kreditkortsuppgifter till 93.000. Vi beklagar felet.

Krom att börja märkning HTTP-anslutningar som osäkra

Den Hyperledger Project växer som gangbusters

Nu kan du köpa ett USB-minne som förstör allt i sin väg

Kostnaden för Ransomware attacker: $ 1 miljard år