19 июня 2015 года, ровно 30 дней спустя после объявления ультиматума, хакеры из группы The Impact Team исполнили свое обещание и действительно опубликовали все данные, украденные у компании Avid Life Media, которой принадлежат популярные сайты знакомств Ashley Madison и Established Men. Пытаясь выяснить, реальны ли данные, эксперты в области информационной безопасности (и просто любопытные пользователи) уже взялись за изучение архива. Его объем немногим меньше 10 ГБ. Выясняется, что все не просто плохо, все даже хуже, чем предполагалось.
Так как компания Avid Life Media пока хранит молчание и не делала никаких официальных заявлений, первыми и громче всего о взломе и его последствиях заговорили специалисты по безопасности. Для начала они тщательно проверили подлинность данных, опубликованных хакерами. Пока что все указывает на то, что информация хотя бы отчасти правдива.
Так исследователь из компании TrustedSec Дейв Кеннеди (Dave Kennedy) занялся изучением архива и пришел к печальным выводам. В блоге компании Кеннеди пишет:
Размер дампа – 10 Гб в сжатом виде. Для тех, кто не понимает – это очень много. Прорва информации».
Более осторожную позицию занял известный журналист и специалист по информационной безопасности Брайан Кребс. Кребс с самого начала имел непосредственное отношение к истории со взломом Ashley Madison и ультиматумом хакеров – именно он первым рассказал о происходящем, он же проверял компромат, опубликованный хакерами, в виде доказательства взлома.
После публикации дампа в сети, Кребс и другие специалисты провели настоящее расследование. В частности, они через Twitter попросили людей, которые точно были зарегистрированы на Ashley Madison, поискать себя в базе. Люди себя нашли. Нашли свой аккаунт, имя и даже последние 4 цифры номера банковской карты и биллинг адрес, хотя представители Avid Life Media ранее категорически отрицали подобное, заявляя, что компания вообще не хранит такие данные.
Кребс пообщался с одним из основателей Ashley Madison и бывшим техническим директором компании Раджей Бхатия (Raja Bhatia). Бхатия консультирует компанию и помогает в расследовании июльского инцидента. Как ни странно, он отрицает, что данные в архиве настоящие. По его словам, компания ежедневно получает от 30 до 80 предупреждений об утечках данных, проверяет сотни гигабайт информации, но это всегда оказывается ложная тревога. Просто кто-то пытается привлечь к себе внимание.
По словам бывшего технического директора, часть данных в архиве настоящие, но это те же самые данные, которые хакеры опубликовали 19 июля 2015, в качестве доказательства серьезности своих намерений. Остальная информация – подделка, или данные собранные из других источников, не имеющих к Ashley Madison никакого отношения.
Бхатия также еще раз подчеркнул, что компания Avid Life Media не хранит данные о банковских картах пользователей, вместо них используя обезличенные ID транзакций. По мнению бывшего технического директора, данные о банковских картах взяты из совершенно иных источников.
Сам Брайан Кребс указывает и на другой важный момент. Если пользователи обнаружили в архиве, опубликованном хакерами, данные о реальных людях, будь то email, ФИО или что-то еще — это еще не говорит о подлинности всего архива в целом. К примеру, кто угодно мог зарегистрироваться на сайте, указав почту barack.obama@whitehouse.gov, но это не говорит о том, что Обама является пользователем Ashley Madison.
Однако, если данные действительно подлинные, данный взлом может привести к невеселым последствиям самого разного рода. К примеру, на Reddit уже мелькала история гея из Саудовской Аравии, который использовал Ashley Madison для знакомств. Дело в том, что в Саудовской Аравии (и ряде других стран) мужеложство карается смертной казнью.
Также, если архив подлинный, пострадавшие могут стать жертвами различных мошенников, распадется немало браков (ведь сайт ориентировался на уже состоящих в отношениях людей, которые ищут романа на стороне), и в базе непременно найдутся имена каких-нибудь известных личностей.
Итак, что на данный момент удалось обнаружить в архиве? Конечно, пока прошли всего сутки с того момента, как об утечке стало известно всему миру, но поверхностный анализ данных, совместными усилиями провести уже удалось.
- Дамп сделан 11/07/15 (в июле текущего года, о взломе стало известно неделей позже).
- Всего база содержит данные более чем о 33 млн аккаунтов и 36 млн email-адресов. Многие из учеток откровенно «одноразовые», без привязки к каким-либо личным данным.
- Информация о каждом аккаунте исчерпывающая. Полное имя, адрес, телефон, хеши паролей (bcrypt), а также данные важные для знакомств – вес, рост, цвет волос и так далее. Более того, во многих случаях информация об аккаунте содержит GPS координаты. Очевидно, приложение отслеживало пользователей принудительно, даже если те не указывали адрес.
- Обнаружены данные о банковских картах. Полные номера карт не раскрываются, зато есть имя владельца и адрес.
- Более 15,000 email-адресов относятся к доменам правительства и вооруженных сил США (.gov, .mil и другие домены верхнего уровня).
- Обнаружено порядка 250,000 аккаунтов, похожих на удаленные. Информация о паролях для данных аккаунтов почему-то удалена. Возможно, эти люди просто не оплатили доступ, и были заблокированы. Но, возможно, что они хотели удалить свой профиль с сайта. Напомню, на Ashley Madison эта услуга была платной и стоила $19. Именно это, в частности, возмутило хакеров из The Impact Team, — они полагали, что деньги с пользователей собирают, но ни о каких удалениях речи не идет.
- В основном сайтом пользовались мужчины. 28 млн пользователей выбрали соответствующую строку в графе «пол». Женщин около 5 млн. Еще 2 млн пол не указали.
- В архиве также содержится информация о PayPal-аккаунтах руководства Ashley Madison, данные Windows domain, предназначенные для сотрудников и огромное количество внутренней документации компании Avid Life Media (логи чатов, контракты, техники продаж и многое другое).