阿什利·麦迪逊哈克不仅是真实的,而且比我们想象的还要糟糕

  精准计划     |      2018-06-21

据证实,源自阿什利·麦迪逊作弊者约会网站的黑客大规模泄密是真实的。就好像这还不够糟糕,10千兆字节的数据——压缩了不少——比几乎所有人想象的要广泛得多。

研究人员仍在仔细研究这个异常大的转储,但他们已经表示,它包括3300万个帐户的用户名、名字和姓氏以及散列密码,部分信用卡数据、街道名称以及大量用户的电话号码,记录960万笔交易和3600万个电子邮件地址。虽然大部分数据肯定与匿名燃烧器账户相对应,但很有可能他们中的许多人都是为了秘密相遇而访问现场的真实人物。值得一提的是,超过1.5万个电子邮件地址由美国政府和军方服务器使用。政府和。铣削顶级域。

泄密还包括阿什利·麦迪逊高管使用的PayPal账户、员工的Windows域凭据以及大量专有内部文档。还发现:大量的内部文件、备忘录、组织结构图、合同、销售技巧等等。

最大的合法性指标来自这些内部文档,其中包含与服务器基础架构、组织结构图等相关的敏感内部数据,”可信的EC研究员戴夫·肯尼迪在博客中写道。这更成问题,因为它不仅仅是数据库转储,这是包括Windows domain等在内的整个公司[ sic ]基础架构的全面妥协。

Kennedy继续说:

到目前为止,看起来大约有3300万个用户名、名字、姓氏、街道地址等受到这一漏洞的影响。

转储本身压缩了10千兆位。对于可能不知道的人来说,这是巨大的。巨大。

不管道德标准如何,这是一次大规模的数据泄露,攻击者能够完全并长期保持对阿什利·麦迪逊组织的访问,而没有被发现。阿什利·麦迪逊并未对违约的原始来源、违约的发生方式或违约的方式发表评论。

这个转储似乎是合法的。非常非常合法。

Kennedy还说,四名阿什利·麦迪逊订阅者告诉他,他们在泄露中发现了他们的数据,并不是唯一一个证实其真实性的人。Errata Security CEO Rob Graham和Security记者Brian Krebs都报道了阿什利·麦迪逊的订户告诉他们,他们的信用卡的最后四位数字已经包含在档案中。大部分数据包括订阅者性偏好,例如三人主导/主顺从/奴和束缚。关系状态包括依附女性寻找男性、依附男性寻找女性、单身男性寻找女性、单身女性寻找男性、男性寻找男性、女性寻找女性。

这篇报道提供了一些杂七杂八的细节,包括泄漏最初发生在7月11日,也就是它被世人所知的10天前。格雷厄姆发表的另一篇博客文章也提供了有趣的细节。阿什利·麦迪逊母公司Avid Life Media的官员周二发表声明,表示泄露不包括真实数据的可能性仍然存在。现在,互联网几乎打败了阿什利·麦迪逊,证实了黑客攻击和它身后留下的记录痕迹。已经有网站出现,允许任何人输入电子邮件地址,并查明是否包含在转储中。对于电话号码和其他数据字段来说,同样的事情也不足为奇。这种大规模的泄漏对大量的人来说不太可能很好地结束。