Главным поводом для взлома скандального «сайта для измен» Ashley Madison послужила платная функция удаления профиля. Хакеры из The Impact Team утверждали, что компания Avid Life Media, которой принадлежит сайт, попросту обманывала пользователей: брала деньги за удаление анкет, тогда как на самом деле вся информация о людях оставалась в базе. Оказалось, правда где-то посередине. Часть данных действительно удаляли, но только часть.
Против Avid Life Media уже начали подавать групповые иски, что совершенно неудивительно, учитывая размах утечки данных и скандала вокруг нее. В суд подают как в Канаде, так и в других странах. Так на этой неделе в США, в окружной суд штата Калифорния как раз поступил новый иск (pdf), с требованием возместить $5 000 000 пострадавшим. В числе прочего, в иске упомянута и злосчастная функция полного удаления анкеты пользователя с сайта и серверов ALM, которая, якобы, не работает.
Издание The Register решило разобраться в вопросе удаления данных и составило наглядное сравнение. Покопавшись в опубликованных хакерами архивах, журналисты составили таблицу. Она показывает, какая информация доступна о пользователе, который заплатил за удаление своей анкеты, и какая о пользователях с активными аккаунтами. Выясняется, что ALM не совсем врала пользователям, так как часть данных действительно удаляли.
Красным в таблице отмечена (и подвергнута цензуре) информация, которая может привести к идентификации пользователя. Зеленым обозначены данные, которые ALM удалила.
| Удаленный аккаунт | Активный аккаунт | |
| ID номер | 271825 | 143760 |
| deleted@almlabs.com | xxxxxxx@xxxxx.xxx | |
| Дата создания | '2004-10-22 03:57:35' | '2004-02-10 18:11:36' |
| Кем создан | 0 | 0 |
| Последнее обновление | '2015-03-19 11:04:08' | '2015-06-11 10:59:49' |
| Кем обновлено | 0 | 10 |
| Admin value | 2 | 2 |
| Status value | 2 | 2 |
| Account type | 1 | 1 |
| Членский статус | NULL | NULL |
| Ad source | 3 | 6 |
| Номер профиля | NULL | 143760 |
| Никнейм | '<271825>' | xxxxxx |
| Имя | '<paid_delete>' | NULL |
| Фамилия | '<paid_delete>' | NULL |
| Адрес | '<paid_delete>' | '' |
| Адрес | '<paid_delete>' | '' |
| Город | 'York' | 'Trenton' |
| Почтовый индекс | '<paid_delete>' | xxxxx |
| Штат | 39 | 31 |
| Широта | xx.xxxxx | xx.xxxxx |
| Долгота | -xx.xxxxxx | -xx.xxxxxx |
| Код страны | 1 | 1 |
| Телефон | '<paid_delete>' | NULL |
| Рабочий телефон | '<paid_delete>' | NULL |
| Мобильный телефон | '<paid_delete>' | NULL |
| Пол | 2 | 2 |
| Дата рождения | 'xxxx-xx-xx' | 'xxxx-xx-xx' |
| Заголовок профиля | '<paid_delete>' | 'Seeking a long term FUN!' |
| Раса | 1 | 1 |
| Вес | xxx | xxx |
| Рост | xxx | xxx |
| Телосложение | 4 | 4 |
| Курит? | 1 | 1 |
| Пьет? | 1 | 1 |
| Сейчас в поиске? | 6 | 5 |
| Статус отношений | 2 | 2 |
| Открыт для отмеченного | '|7|37|36|42|44|39|29|18|' | '|7|17|18|40|31|48|43|29|30 |19|34|38|36|42|44|' |
| В другом открыт для | '<paid_delete>' | '' |
| Резюме | '<paid_delete>' | 'I am seeking a woman for fun, laughs, dates and to enjoy each other's company. Just want to enjoy life again. Please be a real person, too many fake requests on here.' |
| Возбуждает отмеченное | '|30|32|40|44|49|10|52|11|54|14|55|56|60|' | '|4|11|12|14|16|18|30|32|48|6|10|56|45|' |
| Возбуждает отмеченное другими | '<paid_delete>' | '' |
| Возбуждает абстрактное | '<paid_delete>' | '' |
| Ищет отмеченное | '||' | '|47|50|56|71|75|77|78|80|55|57|67|74|' |
| Ищет другое | '<paid_delete>' | '' |
| Ищет что-то абстрактное | '<paid_delete>' | 'I would like to meet a woman who likes to laugh, have fun and be happy. If you want to hang out with a smart, funny, sensual man, let's connect.' |
| Фото | NULL | NULL |
| Контрольный вопрос | 2 | 2 |
| Контрольный ответ | '<paid_delete>' | 'xxxxxxxx' |
Выходит, что многие данные действительно удалялись, ALM продавала не совсем «воздух». Но в базе все равно остается информация о штате, городе и стране проживания, GPS-координаты, параметры роста и веса, дата рождения, пол, а также информация о привычках и предпочтениях пользователя. Немало, учитывая, что человек заплатил $19 за полное удаление своего профиля. Ну и, конечно, самой неприятной из списка является утечка GPS-координат, по которым человека можно выследить и вычислить, даже не зная имени.
Фото: Quartz
