Хакер #305. Многошаговые SQL-инъекции
Весьма популярный за океаном сайт знакомств Ashley Madison ориентирован на уже состоящих в отношениях людей, которые ищут романа на стороне. Сайт неоднократно подвергался критике за провокационные рекламные кампании и слоганы вроде: «Жизнь коротка. Заведи интрижку». Теперь он подвергся и необычной атаке хакеров, называющих себя The Impact Team. Хакеры шантажируют руководство Ashley Madison, требуя полностью закрыть сайт. В противном случае Impact Team грозят опубликовать данные о 37 млн пользователей «сайта для измен», которые были украдены в ходе атаки. На руках Impact Team оказались фото сексуального характера, откровенные переписки, псевдонимы, реальные имена и даже платежные реквизиты пользователей Ashley Madison.
Канадская компания Avid Life Media, которой принадлежит ресурс Ashley Madison, также владеет двумя похожими сайтами — Cougar Life и Established Men. Хакеры из Impact Team требуют полного закрытия Ashley Madison и мужского ресурса Established Men. Странно, но сайт для женской аудитории — Cougar Life шантажисты обошли вниманием.
Impact Team уверяют, что требуют не невозможного. Хакеры понимают, что полная остановка такого масштабного бизнеса займет время и приведет к огромным финансовым потерям, но если в открытом доступе действительно окажется абсолютно вся подноготная 37 миллионов изменщиков и изменниц, компании Avid Life Media придется еще хуже. Издание The Wall Street Journal отмечает, что Avid Life Media как раз собиралась провести IPO этим летом, планируя привлечь около $200 миллионов.
Одним из первых о происходящем сообщил Брайан Кребс. Он же рассказал о том, что Impact Team настроены серьезно и в качестве доказательства своих намерений уже опубликовали небольшой процент украденных данных. Хакеры не блефуют, у них действительно есть компрометирующие фото, логи чатов и другая информация о посетителях Ashley Madison. Информацию о взломе и утечке данных официально подтвердил и CEO Avid Life Media Ноель Бидерман (Noel Biderman).
Чем хакерам так насолил сайт знакомств, можно только предполагать, причиной может являться хотя бы его необычная направленность. Однако многие эксперты предполагают, что атака спровоцирована не только этим, но и функцией Full Delete, которую Ashley Madison предлагает своим пользователям. Дело в том, что ресурс позиционировался как в высшей степени конфиденциальный (что совсем неудивительно), но удалить оттуда свои данные можно было лишь заплатив $19, то есть воспользовавшись вышеозначенной, платной услугой полного удаления личных данных с серверов компании. Impact Team утверждают, что функция Full Delete – обман, и пользовательские данные не удалялись вовсе, зато компания Avid Life Media заработала на этом надувательстве $1,7 млн. Информацию о фейковости опции Full Delete Ноель Бидерман, впрочем, категорически отрицает.
Avid Life Media уже инициировала внутреннее расследование инцидента и привлекла к нему лучших ИБ специалистов и криминалистов. Говорить о каких-либо результатах, однако, пока рано. Основная версия случившегося, по словам представителей компании, проста — атака совершена с поддержкой изнутри. Возможно, виноват даже не сотрудник Avid Life Media, но кто-то имевший непосредственный и близкий доступ к технической стороне бизнеса Avid Life Media. Эта версия имеет смысл, потому как ультиматум Impact Team, к примеру, содержит извинения перед Марком Стилом (Mark Steele) — шефом безопасности ресурса. Хакеры явно знали, что делают.
Фото: krebsonsecurity.com