Хакеры опубликовали 10 гигабайт данных пользователей сайта знакомств для супружеской измены Ashley Madison

Хакеры, в конце июля объявившие о взломе сайта знакомств Ashley Madison, опубликовали около 10 гигабайт данных пользователей сервиса. Об этом сообщает Wired.

Архив размером 9,7 гигабайта был опубликован 18 августа в даркнете. Доступ к нему поначалу могли получить только пользователи браузера Tor, однако впоследствии он начал распространяться на популярных торрент-трекерах.

В украденных файлах содержатся данные около 32 миллионов пользователей сайта Ashley Madison, включая семилетнюю историю транзакций по пластиковым картам, которые они совершали. Номера самих карт доступны не полностью, речь идёт только о последних четырёх цифрах. При этом Wired не исключает, что эти числа могут быть внутренними идентификаторами транзакций.

Архив включает имена, адреса и телефонные номера. Пользователи сайта могли предоставлять ложную информацию, однако платёжные данные могли косвенно подтверждать имена. Полностью защищенными от взлома оказались только те, кто использовал одноразовые карты.

Среди миллионов почтовых адресов в архиве были найдены «ящики» на государственных доменах «.mil» и «.gov», включая [email protected], который принадлежит британскому премьер-министру Тони Блэру. Тем не менее у сайта Ashley Madison отсутствует процедура подтверждения почтовых адресов, поэтому присутствие адреса Тони Блера в списке могло быть чьей-то шуткой.

awkward? pic.twitter.com/xxrWgMOhpB

— zerohedge (@zerohedge) August 18, 2015

В «утёкших» файлах также содержится информация о том, каких отношений пользователи Ashley Madison искали. Например, некоторые из них специально акцентировали внимание на замужних девушках, которым «скучно дома» и которые «устали искать азарт» в жизни.

Пароли пользователей попали в сеть в зашифрованном с помощью bcrypt виде. По словам генерального директора компании Erratasec, занимающейся сетевой безопасностью, это самый надёжный способ хранения данных, однако для их расшифровки у хакеров просто уйдёт больше времени: рано или поздно они смогут добыть информацию, перехватить чужие аккаунты и ознакомиться с их содержимым, включая переписки.

Как утверждают в Erratasec, безопасность в Ashley Madison действительно была на высоком уровне, однако это не спасло сайт от одного их крупнейших взломов сервисов такого рода в истории. Помимо данных с самого проекта им удалось получить финансовую информацию самих сотрудников Ashley Madison.

Сразу после распространения информации об атаке хакеры потребовали от компании Avid Life Media закрыть принадлежащие ей сайты AshleyMadison.com и EstablishedMen.com (сервис для поиска девушками богатых «спонсоров»), однако договорённости, судя по всему, не были достигнуты. Опубликованные в сети файлы обозначены заголовком «Время вышло».

Во время атаки взломщики также выяснили, что в Ashley Madison обманывали своих клиентов. На сайте действовал сервис по полному удалению данных за 19 долларов, однако компания продолжала хранить информацию даже после такого «стирания». Кроме того, по словам хакеров, большинство женских профилей в Ashley Madison — подделка: порядка 90% реальных пользователей сайта — мужчины.

В Ashley Madison назвали взлом «преступлением» и заявили, что после атаки сайт стал более безопасным, чем когда-либо. Однако, отмечает Wired, это вряд ли успокоит тех, кто уже стал жертвой хакеров.