Zehn Fragen, die Ashley Madison beantworten muss

Auch nach mehr als 30GB an Daten offenlegen das Unternehmen öffentlich gemacht hat, gibt es noch ein paar Dinge, die aufräumen

1. haben wie viele Endbenutzer sie?

Der Startseite der Website wirbt mit "über 39,170,000 anonyme Mitglieder", während die Zahl von 37 Millionen regelmäßig Nachrichten über Ashley Madison zitiert. Noch zeigt die durchgesickerte Datenbank knapp 33 m einzelne Benutzerkonten. Wo sind die anderen 6 Millionen?

Was mehr ist, ein Benutzer-Account ist nicht ganz dasselbe wie ein Mitglied. Die Daten deuten darauf hin, dass eine große Anzahl von Konten mit doppelte e-Mails registriert sind, die eine Person, die Registrierung mehrerer Konten angeben könnte.

(2) geschafft hat es, fake-Accounts?

Im Jahr 2013 versuchte Angestellter Ashley Madison in Toronto zu verklagen, die Firma behauptet, dass sie eine sich wiederholende Belastung Verletzung in ihrem Handgelenk bei der Arbeit entwickelt hatte. Die Aktion, die den Schaden verursacht sie behauptete, war 1.000 gefälschte weibliche Profile im Laufe einer Woche, die brasilianische Version der Website pad zu schaffen.

Ashley Madison verweigert diese Behauptung sagen, dass "Unser Service 100 % authentisch, ist wie in unseren Allgemeinen Geschäftsbedingungen beschrieben, und wir Implikation sonst ärgern und sind sicher, dass wir sowohl bestätigt als auch vor Gericht siegreich sein wird". Die Existenz mehrerer Konten verknüpft einzelne e-Mail-Adressen angesprochen neue Fragen.

(3) wusste der Prostitution auf der Website?

Mehreren Ashley Madison Benutzer haben berichtet, dass einige der Benutzer der Website, die echte Menschen sind auch nicht tatsächlich verheiratete Menschen, die eine diskrete Affäre sind. Sicherheitsexperte Robert Graham schreibt, dass "Prostituierte nach mehreren Benutzern, wirklich die einzige Weibchen, die sie konsequent auf Ashley Madison treffen würden sind".

Im Februar dieses Jahres ein anonymer Benutzer auf Vice im Zusammenhang mit seiner Erfahrung auf der Website, euphemistisch "Sugar Babys" auf: "Wenn Sie ein Profil von einer attraktiven Frau unter 25 und sie nicht erweisen sich als ein Betrüger, dann sie wahrscheinlich ist heraus, man bezahlt," schrieb er.

4. es verspricht seinen Kunden Sicherheit. Was hat sie getan, um dies zu gewährleisten?

Ashley Madison Website rühmt sich noch über die Diskretion bietet er Kunden. Aus ihrem Angebot von 39 Millionen "anonyme Mitglieder" (die nicht mehr anonym sind), das Versprechen von "100 % diskret Service" und den lila ribboned "Trusted Security Award", ist ein großer Teil der Marke das Versprechen einer Affäre, die sonst niemand erfahren werden.

Aber die Daten-Dump zeigt sehr wenig tatsächlichen Fortschritt zur Erreichung dieses Ziels. Benutzerkennwörter lagerten auf sichere Weise, "Hash" in einer Weise, die verhindert, dass sie leicht wiederverwendet werden von Angreifern; und die Website über SSL, verhinderte einen Man-in-the-Middle-Angriff auf einen bestimmten Benutzer verbunden. Aber große Mengen sensibler Daten wurden offenbar im Klartext in einigen Datenbanken auf der Website Backend, lassen wer die durchgesickerten Daten lesen Benutzer Profil Informationen, Turn-ons und Beziehung Ziele downloads gespeichert.

Bevor die Kerbe geschah, wussten einige Mitarbeiter die Sicherheitsrisiken bei der Firma nach der gehackten Datenbank. Interne Dokumente zugespielt als Teil des Angriffs zeigen Bedenken über "mangelnde Sicherheitsbewusstsein in der gesamten Organisation" von einem Vizepräsidenten als Reaktion auf einen internen Fragebogen ausgelöst wird.

Noel Biderman schrieb in den gleichen Fragebogen, Geschäftsführer des Unternehmens, was er nur ungern gehen falsch in der Gesellschaft sehen würde: "Daten Exfiltration, Vertraulichkeit der Daten. Ein Insider Datenschutzverletzung wäre sehr schädlich. Haben wir gut genug Arbeit geleistet Sicherheitsüberprüfung alle, sind wir oben drauf. "

(5) CEO sagte, dass das Leck ein Inside Job war. Was machte ihn glauben, dass? Hat er seine Meinung geändert?

Noel Biderman sagte auch kurz nach, dass die Firma glaubt, dass der Hack war ein Inside Job, von jemandem, die bereits Zugang zu ihren Systemen. "Ich habe ihr Profil direkt vor mir, alle ihre eigenen Anmeldeinformationen", sagte er den Security-Journalisten Brian Krebs. "Es war auf jeden Fall eine Person hier, die war kein Angestellter, aber sicherlich unsere technischen Dienstleistungen berührt hatte."

Aber Biderman noch nicht offenbart weitere Auskünfte seitdem. Wenn er, wer es war wüsste, warum erwischt haben nicht sie worden? Und wenn er es nicht, warum war er so klar, dass es war definitiv ein Insider?

6. warum haben die "vollständige Löschen" Profil des Kunden nicht vollständig löschen? Warum hielten sie Standortinformationen für ein vollständig gelöschte Konto?

Ashley Madison bietet einen 15 £/ $20 "vollständige Löschen" Service für die Nutzer. Die Website zeichnet sich dating-Sites, Amongother, dass die bezahlten sogar Gespräche entfernen löschen wird hatte ein Benutzer mit anderen Site-Mitglieder.

Die Datenbank zeigt aber, dass "voll" Angelegenheiten eher übertrieben ist. Benutzer, die bezahlt, ihr Konto zu löschen haben ihre e-Mail-Adresse, Anschrift, Benutzername, vor- und Nachnamen aus dem Datensatz, zusammen mit ihre Profilinformationen gelöscht; aber eine ganze Reihe von persönlichen Daten blieb auf Ashley Madison-Servern, einschließlich der sexuellen Vorlieben, Höhe, Gewicht, Geburtsdatum, und sogar des Benutzers breiten- und Längengrad, abgeleitet aus den Adressdaten, die sie zuvor eingegeben.

Schlimmer noch, die Kreditkarten-Daten verwendet, um Zahlen für die vollständige Löschung ist auch gespeichert (die vollständige Kartennummer nicht, jedoch bleibt), und die Transaktion wird durch eine Benutzer-ID auf das gelöschte Konto verknüpft. In anderen Worten, ist es möglich, voll ein Benutzers, de-anonymisieren, selbst nachdem sie echtes Geld für das Löschen bezahlt.

"Ich für die vollständige Löschung bezahlt aber ich auf der Müllkippe erscheinen," sagte ein Benutzer dem Guardian. "Wenn Ashley Madison einen Service in Rechnung, die sie angegeben haben gestellt, würde ich gerne wissen."

In einer Erklärung im Juli, Ashley Madison sagte: "im Gegensatz zu aktuellen Medienberichten und basierend auf Vorwürfe von Cyber-kriminellen online gebucht, die" bezahlten "Löschoption von AshleyMadison.com angeboten tatsächlich beseitigt alle Informationen zu Profil und Kommunikation Tätigkeit des Mitglieds. Der Prozess umfasst eine harte Löschen des ersuchenden das Profil eines Benutzers, einschließlich der Beseitigung von gebuchten Bilder und alle Nachrichten an andere Systembenutzer e-Mail-Boxen."

7. da es nahm Kartenzahlungen für eine vollständige löschen, warum es deutlich machen, dass nicht die Zahlungsinformationen muss beibehalten werden?

Ashley Madison angeboten anonyme Zahlungsmöglichkeiten, einschließlich die Fähigkeit, mit einem Starbucks Gutschein bezahlen. Aber für die Benutzer, die mit einer Kreditkarte bezahlt, es wollte nie möglich, ihre Daten vollständig von der Website zu entfernen, da Kreditkartenzahlungen für Schutz vor Betrug – aufbewahrt werden und natürlich einer bestimmten realen Identität verbunden.

8. Warum legen nicht es den Hack zu Kunden offen, als es passiert ist? Warum haben sie aus der Presse erfahren?

Offenlegung ist wichtig bei Sicherheitsverletzungen: oft, den meisten Schaden in die Zeit, bevor Benutzer herausfinden und ändern Sie Kennwörter und Details-Karte durchgeführt werden. Ashley Madison-Hack ist natürlich ein Sonderfall, weil die Informationen an und für sich, schädlich ist, unabhängig davon, ob sie später wiederverwendet wird; aber das gleiche Prinzip gilt.

Das ist warum es ist, dass bezüglich der Hack weitgehend mitgeteilt wurde durch Sicherheit Reporter, sondern als Kontakt zwischen Ashley Madison und den Mitgliedern der Öffentlichkeit. Da der Hack zuerst berichtet wurde, wurden es nur fünf öffentliche Äußerungen aus der Firma und keine Beratung für Endbenutzer besorgt über die Weitergabe ihrer persönlichen Daten.

9. Warum hat es geschafft, ein bestimmtes, Denial-of-über die Speicherung von Kartennummern zu schmal?

Eine dieser fünf Aussagen gelesen, in seiner Gesamtheit:

"Keine aktuelle oder ehemalige Mitglieder vollständige Kreditkartennummern gestohlen wurden von Avid Life Media. Alle Aussagen sind im Gegenteil falsch. Avid Life Media hat nie Mitglieder vollständige Kreditkarten-Nummern gespeichert."

Während die Aussage zweifellos zutrifft, beschönigt es die Tatsache, dass Zahlungsinformationen gestohlen wurde, einschließlich die letzten vier Ziffern der Zahlungskarten. War dies ein Versuch, von der anstehenden ablenken?

10. Warum ist es immer noch was bedeutet, dass das Leck nicht real ist?

Zu diesem Zeitpunkt zeigt der Beweis mit überwältigender Mehrheit auf die komplette Datenbank echt. Nicht nur ist Verbraucherdaten ausgesetzt, aber auch Ashley Madison internen Kommunikation – in einem zweiten Dump doppelt so groß wie die erste, die komplette e-Mail-Datenbank des Gründers Biderman inklusive.

Doch die Website aktuelle Aussage zu diesem Thema lediglich sagt, "Wir sind aktiv überwachen und untersuchen diese Situation um die Gültigkeit von Informationen online veröffentlicht zu bestimmen". Wenn die Unternehmen versuchen, Benutzer Vertrauen zurückzugewinnen, ist das erste, was, das es zu tun hat, reine zu kommen. Und bis es das Ausmaß der Verletzung zugibt, das wird nicht passieren.

Der Vormund diese Fragen Ashely Madison gestellt, aber das Unternehmen hat nicht direkt beantwortet Fragen bisher durch seine UK-Sprecherin.