פאדיחות! ההאקרים שגנבו מידע לקוחות רגיש של אתר הבגידות AshleyMadison.com מימשו את איומם ופרסמו את המידע און ליין.
מאגר מידע עצום בגודל 9.7 גיגה בייט פורסם בשלישי ברשת האפלה באמצעות כתובת שנגישה רק דרך דפדפן Tor. הקבצים כוללים נתונים על חשבונות של כ-32 מיליון משתמשים באתר המיועד לנשואים המחפשים פרטנרים לרומן.
במאגר נכללו גם סוג כרטיסי אשראי ואמצעי תשלום אחרים שנצברו במשך שבע שנים החל מ-2007. המידע כולל שמות מלאים, כתובות מגורים, כתובות אימייל, מספרי טלפון וסכומים ששולמו, אך לא מספרי כרטיסי אשראי אלא רק ארבע ספרות שעשויות להיות ארבע הספרות האחרונות בכרטיס האשראי.
עדכון: מישהו העלה מנוע חיפוש לאיתור כתובות אימייל במאגר.
קרוב ל-40 מיליון אנשים משתמשים באתר שמזוהה עם בגידות. “תהנו מרומן עם אשלי מדיסון”, נכתב בדף הראשי של האתר, “אלפי נשים ובעלים בוגדנים נרשמים מדי יום בחיפוש אחר רומן. אנחנו ערבים לכך שתמצאו את הפרטנר המושלם לרומן”.
חלק מהכתובות והמספרים במאגר נראים מזויפים אך השמות המשויכים לכרטיסי האשראי הם אמיתיים למעט במקרים בהם המנויים שילמו בכרטיסי אשראי פריפייד אנונימיים. על פי ניתוח אחד, במאגר אלפי כתובות מייל המשתייכות לארגונים בצבא ובממשל האמריקני. על פי בדיקה שערכנו, בין הנתונים נכללת גם כתובת אימייל של חבר כנסת ישראלי. כמובן שיש אפשרות שאותו חבר כנסת לא השתמש באתר בעצמו אלא אחד מעוזריו או מישהו שביקש להביך אותו או שכך הוא לפחות יספר. עוד במאגר: כתובת אימייל של מנהל בית חולים ממשלתי לשעבר, עובדי משרד האוצר, רשות המיסים וכתובות מייל של עובדי ממשלה ישראלים ועובדי מדינה.
המידע שדלף כלל גם תיאורים מפורטים אודות המאוויים של המנויים: “אני מחפש מישהי שלא מרוצה בבית או משועממת ומחפשת קצת ריגושים”, כתב משתמש אחד. “אני אוהבת שקוראים לי להתייצב תוך 15 דקות במקום מסוים ושם מקבלים את פני עם מתנה קטנה, לנז’רי, עירום”.
הסיסמאות במאגר הוצפנו באמצעות האלגוריתם bcrypt אך מומחי אבטחת מידע סבורים כי על אף שמדובר באחת הדרכים היותר מאובטחות לאחסן סיסמאות, האקרים יוכלו לפצח את ההאשים כדי לגלות את הסיסמה המקורית של בעל החשבון. המשמעות היא כי אם החשבונות האלה עדיין פעילים באתר, ההאקרים יוכלו לגשת באמצעותם לתכתובות רגישות ששמורות בחשבונות של אותם משתמשים.
בעקבות הפריצה לאתר הבגידות בחודש שעבר, ההאקרים שמכנים עצמם Impact Team, דרשו כי Avid Life Media, הבעלים של “אשלי מדיסון” ואתר נוסף בשם Established Men, יסירו את שני האתרים. האתר השני מבטיח לחבר בין נשים צעירות ויפות לשוגר דדיז כדי “לספק את צורכי החיים שלהם”. Rich Taste, מה שנקרא. משום מה ההאקרים לא יצאו נגד CougarLife, אתר נוסף בבעלות הרשת שמבטיח לחבר בין נשים מבוגרות לגברים צעירים. ככל הנראה ההאקרים כיוונו את המתקפה שלהם נגד שני האתרים בגלל הטבע המוסרי המפוקפק שלהם אך גם יצאו נגד טקטיקות שיווקיות עלובות להגדרתם, כמו להבטיח למשתמשים להסיר את כל המידע שלהם באתר בתוספת תשלום של 19 דולרים ולמרות זאת החברה השאירה את המידע בשרתים. אותם גברים בוגדנים לא זכאים לדיסקרטיות, כתבו ההאקרים והוסיפו: “וגם אתם ALM, שהבטחתם דיסקרטיות ולא קיימתם”.
כדי להמחיש שהם רציניים ההאקרים פירסמו דגימות של המידע הגנוב, שכללו מידע פיננסי המפרט את משכורות עובדי החברה ומסמכים הממפים את הרשת הפנימית של “אשלי מדיסון”. Avid Life Media התעלמה מהאזהרות ולא הסירה את האתרים מהרשת לאחר הפריצה, והסתפקה בהבטחה ללקוחות כי תגברה את אבטחת הרשת שלה. כמובן שאין שום משמעות למהלך כזה לאחר שמידע על הלקוחות כבר דלף. מדובר באחת מהדלפות המידע הכי מביכות בהיסטוריה של הרשת: הבושה של אותם בוגדים, הזעם של בני הזוג הזועמים שלהם שעלולה להוביל לפירוק מערכות יחסים, סכנה של סחיטות והונאה בעקבות מידע פיננסי רגיש. קשה לראות איך “אשלי מדיסון” מתאוששת מהפרשה המדהימה הזו. קשה להצטער יותר מדי.
ההאקרים הסירו מעל עצמם כל אחריות לנזקים: “מצאתם את עצמכם במאגר? זו הייתה ALM שבגדה בכם ושיקרה לכם. תבעו אותם לנזקים ואז תמשיכו בחייכם. תלמדו את הלקח שלכם ותתקנו. זה אולי מביך עכשיו אבל תתגברו”, הם כתבו.
Avid Life Media גינתה את הדלפת המידע:
“זה לא אירוע של האקטיבזם אלא מעשה פלילי. זו פעולה בלתי חוקית נגד משתמשים יחידים באתר “אשלי מדיסון”, כמו גם כל נגד אנשים חופשיים שבחרו להשתתף בפעילויות חוקיות ברשת. הפושע או הפושעים שעומדים מאחורי המעשה הזה שמו עצמם כשופטים מוסריים, מושבעים ומוציאים לפועל, וכפו את חוש הצדק שלהם על הכלל. אנו לא נשב בחיבוק ידיים ונאפשר לגנבים האלה לכפות את האידיאולוגיה הפרטית שלהם על אזרחים ברחבי העולם”.
תודה לאסף מגידש על הטיפ.
