"Ако искаш някаква информация да си остане само за теб и да не се разбира от другите, то тя изобщо не трябва да бъде в интернет." Така един от ръководителите на Google, а сега и на холдинга Alphabet, Ерик Шмид, адресира критиките преди време към интернет гиганта, че не може да осигури пълна и гарантирана защита на данните на потребителите. До същото заключение достигнаха и около 37 млн. потребители на сайта за запознанства Ashley Madison, след като той стана жертва на мащабна хакерска атака.
Особеното на Ashley Madison е, че не е какъв да е сайт за запознанства. Той е насочен към хората, които търсят извънбрачни връзки. Но да оставим настрана моралния въпрос и да погледнем техническите и бизнес темите. Компанията - собственик на Ashlеy Madison, е Avid Life Media (ALM). Тя твърдеше, че Ashley Madsion е "последното истински сигурно място в интернет" и потребителите могат да се чувстват напълно спокойни за данните си. Явно никой от ALM не е посещавал конференции за киберсигурност през последните няколко години, където всички са единодушни, че стопроцентова сигурност няма и хакерите винаги ще намират пролуки в системите.
Разграден двор
Сутринта на 12 юли т.г. служителите на ALM идват на работа както обикновено. Когато пускат служебните си лаптопи, те са посрещнати от съобщение, че мрежата им е компрометирана, сайтът е хакнат, а данните от него - изтеглени. За капак пробитите компютри изпълняват и песента Thunderstruck на AC/DC. Така компанията разбира, че е хакната. Не е ясно защо никой от системните администратори не е забелязал проблем по време на самата атака и как можеш да изтеглиш над 300 GB информация, без никой да забележи. Всъщност според самите хакери отговорът е много прост - не е имало никакъв контрол, сигурност или мониторинг.
През миналата седмица хакерите се свързали с онлайн изданието Motherboard. Те се представили с името Impact Team и са доказали, че са извършителите на атаката чрез същия подпис и виртуален отпечатък (известен и като PGP ключ), които са оставени и в мрежата на Ashley Madison. "Прекарахме доста време в Avid Life Media, за да разберем и вземем всичко. Никой не гледаше. Нямаше никаква охрана", коментират хакерите. Те дадоха срок на ALM да свали Ashley Madison от мрежата, а в противен случай ще започнат да публикуват данни от откраднатия архив. Тъй като компанията не изпълни искането, хакерите започнаха да разкриват информация за потребителите и за множество нарушения на самата фирма спрямо собствените си правила и условия.
Подведени потребители
Според Impact Team сайтът е мамил потребителите си с хиляди фалшиви профили, само и само да ги накара да се абонират. Според условията на сайта жените не плащат да се абонират, докато мъжете се таксуват за всеки контакт. Оказва се, че мъжете харчели средно между 200 и 300 долара на година в сайта. Освен това услугата за пълно изтриване на всички данни на даден профил струва 19 долара. Impact Team казват, че са се решили на атаката, след като са разбрали, че сайтът не изтрива данните на потребителите, въпреки че са си платили. Резултатът от всичко това е, че доста хора сега намират имейлите си в публикуваните списъци, някои сайтове дори правят и търсачки, за да "проверите дали половинката ви е искала да ви изневери". Срещу Ashley Madison вече започват да валят и съдебни искове за над 578 млн. долара от разочаровани потребители, които твърдят, че са били подмамени от гаранциите за сигурност на данните, съобщава сп. Wired.
Един от исковете е заведен от анонимен потребител, според когото е имало явен риск, който в ALM са пренебрегнали. Въпросният човек очевидно се е запознал в детайли с публикуваните от хакерите 40 GB информация от Ashley Madison в интернет. В иска си той посочва вътрешни имейли в компанията, в които нейни служители дават ясни и конкретни предупреждения за открити пропуски в сигурността. Пропуски, които всъщност са доста често срещани и са сред най-популярните тактики на хакерите за извличане на информация. Компанията обаче не е взела мерки. Според заведения иск ALM не е спазвала дори базовите нива на сигурност, които са приети като стандарт от компаниите, които разполагат с лични и/или финансови данни за клиентите си. Всъщност още през 2012 г. технологичният директор на Ashley Madison Ража Батия е предупредил, че пробив в системата е неизбежен, ако не се вземат мерки.
И за да е "идилията" пълна, вътрешните имейли на ALM разкриват, че също през 2012 г. Батия е хакнал конкурентен сайт - Nerve.com. В писма между него и изпълнителния директор на ALM Ноел Бидерман Батия казва, че е открил пролуки в сигурността на конкурента и дори е взел "всички потребителски данни". Бидерман е заявил, че "с удоволствие би взел имейлите на потребителите", но Батия отговорил, че не може да ги даде, защото "няма да мога да погледна сина ми в очите". За сметка на това му е пратил информация как сам може да се сдобие с тях. Бидерман обаче не се е справил. Фирмата не е коментирала тази информация, която беше разкрита от специалиста по киберсигурност Браян Кребс. Вместо това ALM обвинява хакерите в тежко престъпление и предложи награда от 380 хил. долара за откриването им. Но е ясно, че с бизнеса на сайта е свършено. А само допреди месец той бележеше бурен растеж: приходите за 2014 г. достигнаха 115 млн. долара, с 45% повече от предишната година.
Прецедент или нещо нормално
Хакерски атаки срещу потребителски данни е имало и ще продължава да има. Досега обаче те са били главно срещу финансова информация. Макар и понякога да костват известна сума пари на пострадалия, това не е чак толкова фатално. В случая обаче се рискуват бракове и нанасяне на тежки психологически вреди на неподозиращи съпруги и съпрузи, които може да не устоят на призивите на медиите и да решат да проверят дали половинката им е имала регистрация в Ashley Madison. "Това е плашещ прецедент. Досега не е имало толкова голямо и дълбоко навлизане в личния живот на хората", коментира пред Reuters Аджай Сууд, генерален мениджър за Канада на компанията за киберсигурност FireEye.
Още по-плашещ за сайтовете за онлайн запознанства е фактът, че хакерите, изглежда, не са мотивирани от финансови облаги. Самите представители на Impact Team заявяват, че го правят от морални съображения. Онлайн индустрията за забавления за възрастни съставя над 10% от глобалния интернет трафик и е достатъчно голям пазар. Основното притеснение сега е, че събитията от Ashley Madison ще създадат тенденция и други подобни сайтове също ще станат обект на хакерски атаки. Някои от тях вече се подготвят, но са наясно, че ще е много трудно да отблъснат всички хакерски атаки, коментират от Коалицията за свободно слово, която представлява интересите на индустрията за възрастни.
"Ако искаш някаква информация да си остане само за теб и да не се разбира от другите, то тя изобщо не трябва да бъде в интернет." Така един от ръководителите на Google, а сега и на холдинга Alphabet, Ерик Шмид, адресира критиките преди време към интернет гиганта, че не може да осигури пълна и гарантирана защита на данните на потребителите. До същото заключение достигнаха и около 37 млн. потребители на сайта за запознанства Ashley Madison, след като той стана жертва на мащабна хакерска атака.
Особеното на Ashley Madison е, че не е какъв да е сайт за запознанства. Той е насочен към хората, които търсят извънбрачни връзки. Но да оставим настрана моралния въпрос и да погледнем техническите и бизнес темите. Компанията - собственик на Ashlеy Madison, е Avid Life Media (ALM). Тя твърдеше, че Ashley Madsion е "последното истински сигурно място в интернет" и потребителите могат да се чувстват напълно спокойни за данните си. Явно никой от ALM не е посещавал конференции за киберсигурност през последните няколко години, където всички са единодушни, че стопроцентова сигурност няма и хакерите винаги ще намират пролуки в системите.
3 коментара
Странна работа.
От една страна не може да се вярва на обещания за сигурност в интернет, от друга от самият сайт не са правили нищо което да прави сайта по-сигурен в интернет пространството.
Тия ме кефят, с морала си! От всякъде! И професионален и обществен.
Когато търгуваш със сигурността и доверието на хората е добре освен средства за глашатайство (колко си неприкосновен( да отделиш някой долар от 115млн. за сигурност. Изглежда обаче ако са верни изнесените данни едва ли са отделени и 5% годишно за интернет сигурност за "последното неприкосновено островче в мрежата"....
Какъв коментар пък може да се даде за това: "Освен това услугата за пълно изтриване на всички данни на даден профил струва 19 долара. Impact Team казват, че са се решили на атаката, след като са разбрали, че сайтът не изтрива данните на потребителите, въпреки че са си платили. "
Аз мисля, че е измама в особено големи.