Ashley Madison Hack: Antworten auf Ihre Fragen
Was passiert ist, warum Hacker waren in der Lage, die Daten zu stehlen und was können Sie tun, wenn Ihre Daten online zu sehen
Was ist Ashley Madison?
Eine dating-Website mit dem Slogan "Leben ist kurz. Haben Sie eine Affäre"bietet verheiratete Menschen die Chance, ihre Ehepartner zu betrügen. Mit einer beanspruchten 37m-Nutzer, es ist eines der größten seiner Art, und kein Fremder in Kontroverse: die Website hatte zuvor ein Sportwissenschaftler zu belauschen Gespräche zwischen seinen Nutzern, einen Aufsatz zu schreiben, auf wie Frauen Angelegenheiten und regelmäßig kontaktiert Journalisten "Ehebruch Einblicke", basierend auf Daten von ihren Nutzern anbieten suchen erlaubt.
Die Website wird von kanadischen Firma Avid Life Media betreibt ein Portfolio von ähnlich Nische und umstrittene dating-Sites, einschließlich der Cougar Leben (für ältere Frauen suchen jüngere Männer) und etablierte Männer ("Connecting junge, schöne Frauen mit interessanten Männern") laufen.
Wie funktioniert die Website?
Im Gegensatz zu vielen dating-Seiten wird Ashley Madison nicht für die Mitgliedschaft direkt aufgeladen. Stattdessen zahlen Nutzer für Kredite, die verwendet werden, zum Senden von Nachrichten und Chat-Sitzungen zu öffnen. Kontrovers, die Website lädt Männer zum Senden von Nachrichten an Frauen, und auch Gebühren Männer lesen Sie Nachrichten gesendet von Frauen. Während viele dating-Sites die Waage zugunsten der weiblichen Mitglieder neigen, sind nur wenige so explizit dabei.
Benutzer können auch ihre Kredite zu verwenden, um Geschenke zu versenden oder mehr bezahlen, um ihre Nachricht an der Spitze der eine (weibliche) Mitglieder Posteingang abgelegt.
Was ist gestohlen worden?
Die Standortdatenbank der Mitglieder sowie eine riesige Menge an internen Unternehmensdaten. Die Datenbank ist in drei Teile geteilt: die größte enthält Profilinformationen, einschließlich Namen, Adressen und Geburtsdaten von Benutzern.
Diese Datenbank enthält auch die Benutzer Einträge in drei Checkbox-Listen unterschiedlich detailliert ihre törnt, welche Art von Person, die sie suchen und was wirkt sie hoffen durchzuführen sowie biographische Informationen wie unabhängig davon, ob sie rauchen und trinken.
Eine zweite Datenbank enthaltenen e-Mail-Adressen der Benutzer, sowie Informationen über welche Mailinglisten waren sie Opt-in zu. Dies ist die Datenbank, die Quelle von vielen der Geschichten bis heute, wurde, weil es am einfachsten zu im allgemeinen Suchbegriffe ist. Es überrascht nicht, haben Benutzer mit e-Mail-Adressen aus der britischen und US-amerikanischen Regierungen und Militärs sowie eine Reihe von großen Unternehmen und Bildungseinrichtungen – angemeldet obwohl trotz der Berichte hingegen niemand mit einer gültigen e-Mail aus dem Vatikan angemeldet hat.
Aber die e-Mail-Datenbank ist fraglich. Bedürfnisse ihrer Mitglieder für die Privatsphäre, verlangen Ashley Madison keine e-Mail bestätigt werden, bevor das Konto genutzt werden, führt zu einige Mitglieder Anmeldung mit offensichtlich falschen e-Mails (z. B. "Tblair eine Adresse, die nicht vorhanden ist), und andere gaben e-Mails, die nicht ihre eigenen, wie mehrere Konten mit"Steve erstellt
Die dritte ist eine Informationsdatenbank Kreditkarten-Transaktion. Aber die Informationen nicht ausreichen, um Nutzer Bargeld zu stehlen, und Ashley Madison wurde sehr deutlich, dass vollständige Kreditkarten-Informationen durchgesickert war nicht, sagt:
"Keine aktuelle oder ehemalige Mitglieder vollständige Kreditkartennummern gestohlen wurden von Avid Life Media. Alle Aussagen sind im Gegenteil falsch. Avid Life Media hat nie Mitglieder vollständige Kreditkarten-Nummern gespeichert."
Was passiert, wenn das Konto gelöscht wurde?
Einige der Informationen von gelöschten Konten verbleiben in der Datenbank. Dies gilt auch für Konten, die scheinen mit Ashley Madison zahlend-für volle Option "löschen", die £15 oder $20 zu entfernen aller Informationen eines Benutzers von der Website geladen wurden gelöscht. Der Guardian hat festgestellt, dass einige Konten, gekennzeichnet als "bezahlte löschen" in der Datenbank genügend Informationen zum Identifizieren des Kontoinhabers behalten: insbesondere eine Längen- und Breitengrad, abgeleitet von der Post oder Postleitzahl sowie das Geburtsdatum, Größe, Gewicht und Geschlecht.
Wo sind die Informationen jetzt?
Die wichtigsten Dump wird gehostet auf ein Tor "versteckten Dienst" – eine Website, die nur über den anonymen Browser zugegriffen werden kann. Im Gegensatz zu einer normalen Website, die Besucher direkt zu verbinden, erreicht man ein versteckten Dienst über eine verschlüsselte Verbindung weitergeleitet durch Dritte, die Adresse der Website von ihren Besuchern und umgekehrt zu verdecken. Das heißt, es sehr schwierig ist, das Rechtssystem zu verwenden, um den wichtigsten Dump herunterzunehmen, da niemand noch, wer weiß zu die Takedown Mitteilungen zu senden.
Darüber hinaus ist die Deponie selbst jetzt mit Bittorrent, ein Peer-to-Peer-Übertragungsprotokoll verbreitet. Die Datei wird in mehrere Blöcke aufgeteilt die dann direkt von einem Downloader Computer zum nächsten geteilt werden. Mit kein zentrales Repository es ist aber unmöglich, die Übertragung zu verhindern, obwohl ein "Magnet" – eine kurze Zeichenfolge von Text erzählt ein neues Downloader wie eine Verbindung zu den "Schwarm" von Dateien – link ist noch erforderlich.
Wer hat das getan?
Bisher weiß niemand. Am Tag des Hacks sagte Ashley Madison Geschäftsführer Noel Biderman Sicherheit Reporter Brian Krebs, dass es ein Inside Job gewesen wäre. "Wir sind auf der Schwelle [bestätigen], die wir glauben, dass der Schuldige ist, und leider kann, dass diese Veröffentlichung ausgelöst", sagte Biderman. "Ich habe ihr Profil direkt vor mir, ihre eigenen Anmeldeinformationen. "Es war auf jeden Fall eine Person hier, die war kein Angestellter, aber sicherlich unsere technischen Dienstleistungen berührt hatte."
Aber seitdem nichts mehr wurde von Ashley Madison, mit Ausnahme der Tatsache, dass die Firma den Angriff untersucht aufgedeckt. In seiner jüngsten Stellungnahme, die Firma sagte: "sofort starteten wir eine vollständige Untersuchung Nutzung unabhängig forensischen Experten und andere Sicherheitsexperten gerne bei der Ermittlung der Herkunft, Art und Umfang dieses Angriffs. "Unsere Untersuchung ist noch nicht abgeschlossen und wir sind gleichzeitig kooperiert vollumfänglich mit polizeiliche Ermittlungen, unter anderem durch die Royal Canadian Mounted Police, der Ontario Provincial Police, der Toronto Police Services und das Federal Bureau of Investigation."
Was kann ich tun, wenn meine Daten darauf angezeigt?
Angesichts der weit verbreiteten Verfügbarkeit von Websites, wodurch die neugierigen zu prüfen, ob eine angegebene e-Mail-Adresse in den gehackten Daten enthalten war, wenn Sie wissen, dass Ihre Informationen auf der Website war, sollten Sie es früher oder später zu öffentlichen vorbereiten.
Das heißt, die bloße Tatsache, dass die Daten einer Person in das Leck aufgenommen wurde bedeutet nicht, dass sie die Website verwendet, um eine Affäre, sagt Tod Beardsley Informationen Sicherheitsfirma schnelle 7. "Für den Anfang ist es trivial, eine Fälschung einrichten Konto auf Ashley Madison, seit Avid Life Media (ALM)-Konto-Setup-Verfahren ermutigt, aber nicht erforderlich, eine e-Mail-Adresse durch den Benutzer überprüft werden. Dies könnte durch Akteure von Witzbolde bis hin zu bitteren Scheidung Rivalen für eine Vielzahl von Gründen erfolgen.
"Zweitens neigen die meisten"echten"Kontoinhaber, fake, Wegwerf-Daten und Details, aus offensichtlichen Gründen verwenden. Wenn einige dieser gefälschten Details geschehen, mit einer realen Person übereinstimmen, kann es eine klebrige Problem für die reale Person erstellen.
"Schließlich, auch wenn die realen Daten einer realen Person und diese Person wirklich auf der Seite registriert ist, gibt es keinen Hinweis auf die Daten wenn diese Person war erfolgreich oder sogar die Absicht, eine unerlaubte Affäre zu verfolgen."
Welche Auswirkungen wird die Website Gesicht?
Es könnte die Verletzung wird in der Tat sehr teuer werden, sagt Luke Scanlon, Technologie-Rechtsanwalt bei Pinsent Masons: "das interessante an diesem Vorfall ist, dass aktuelle Gerichtsentscheidungen im Vereinigten Königreich zu der Auffassung, die eine Klage erhoben werden kann, wenn keine finanziellen Verlust auftritt, aber wo eine Person not infolge einer Verletzung der Datensicherheit Erfahrungen gelehnt haben.
"Bei Ashley Madison, 1,2 m Abonnenten allein im Vereinigten Königreich hat die gemeldet wird, wäre jeder versuchen, für £1.000 Entschädigung beanspruchen Ashley Madison sah sich Kosten von bis zu £1,2 Mrd.. Auch wenn Ansprüche für Not in diesem Fall bescheiden sind, die schiere Menge der Daten verletzt und Personen, die bei diesem Angriff betroffen hätte einen wichtigen Einfluss auf das Unternehmen.
"Diese Veranstaltung verstärkt die Notwendigkeit für Unternehmen, nicht nur zu denken, über das, was in Informationssicherheit gesetzlich vorgeschrieben ist, aber was ist empfehlenswert."