阿什利麦迪逊黑客不仅是真实的 而且比我们想象的还要糟糕
阿什利·麦迪逊约会网站的黑客们的大量信息被证实是真实的。如果这还不够糟糕的话,那就是压缩的10g数据比几乎所有人想象的都要大得多。
研究人员仍在仔细研读了极大的转储,但他们说这已经包括用户名、姓和名,和哈希密码3300万账户,部分信用卡数据,街道名称,为大量的用户和电话号码,记录记录960万个事务,和3600万个电子邮件地址。虽然大部分数据肯定与匿名的燃烧器账户相符,但很有可能其中许多是为秘密会面而访问该网站的真实用户的。值得注意的是,超过15000个电子邮件地址是由美国政府和服务器使用。gov和。mil顶级域名托管的。
泄露的信息还包括Ashley Madison高管使用的PayPal账户、员工使用的Windows域凭证,以及大量专有的内部文档。还发现:大量的内部文档、备忘录、组织结构图、合同、销售技巧等等。
TrustedSec的研究人员Dave Kennedy在一篇博客中写道:“合法性的最大指标来自这些内部文件,其中很多包含与服务器基础设施、组织结构图等相关的敏感内部数据。”“这是一个更大的问题,因为这不仅仅是一个数据库转储,这是整个公司[sic]基础设施的全面妥协,包括Windows域和更多。”
肯尼迪继续说:
到目前为止,大约有3300万个用户名、名、姓、街道地址以及更多的人受到了这次攻击的影响。
转储文件本身-压缩了10 gb。对于那些可能不知道的人来说,这是巨大的。巨大的。
抛开道德规范不谈,这是一次大规模的数据泄露,攻击者可以完全并持续地访问Ashley Madison组织的很大一部分数据,而在很长一段时间内都没有被发现。阿什利·麦迪逊没有对最初的泄露来源、是如何发生的,以及他们是如何被泄露的发表评论。
这个垃圾场似乎是合法的。非常非常合法的。
肯尼迪还说,Ashley Madison的四名订户告诉他,他们在泄露中发现了自己的数据。他并不是唯一一个证实数据真实性的人。Errata Security的首席执行官Rob Graham和安全记者Brian Krebs都报告说,Ashley Madison的用户告诉他们,他们信用卡的最后四位数字也包含在文件中。许多数据包括订阅者的性偏好,如“3p”、“主导/主人”、“服从/奴隶”和“奴役”。关系状态包括“依附的女性寻求男性”、“依附的男性寻求女性”、“单身的男性寻求女性”、“单身的女性寻求男性”、“男性寻求男性”、“女性寻求女性”。
这篇报道提供了一些繁杂的细节,其中包括泄露最初发生在7月11日,也就是全世界得知消息的10天前。Graham发表的另一篇博客文章也提供了有趣的细节。
Ashley Madison母公司Avid Life Media的管理人员周二发表了一份声明,对泄露不包括真实数据的可能性保持开放态度。如今,互联网几乎已经击败了阿什利·麦迪逊(Ashley Madison),确认了黑客攻击和跟踪记录所留下的痕迹。现在已经出现了一些网站,任何人都可以通过这些网站进入一个电子邮件地址,看看它是否包含在垃圾邮件中。对电话号码和其他数据字段执行相同的操作并不奇怪。这次大规模的泄漏不太可能对大量的人有好的结果。