早在7月,全球最大婚外情网站Ashley Madison被黑。当时,黑客组织The Impact Team 称,他们掌握了近4000万用户的真实姓名、住址和信用卡明细,如果AM 网站不永久关闭,他们将曝光所有资料——现在,他们的说法真的兑现了。
8 月 18 日,黑客们通过洋葱浏览器(Tor browser)将大约 9.7G 的用户隐私数据包发布在了暗网上。这些数据文件大约包括了 3200 万用户的账户信息,登陆密码,以及近 7 年的信用卡或其他支付手段的交易明细,其中上百万次交易明细中包括了姓名、住址、email 信息、以及付款金额。
“我们是最知名的出轨和已婚约会网站,”Ashley Madison 网站一直在自己的首页上宣称,“今天就来这里寻找一次约会,每天都有成千上万名不忠的丈夫和妻子加入我们。通过我们的约会配对服务,我们保证你能找到最完美的出轨对象。”
AM 网站的中文页面
虽然之前的经验表明,很多用户在注册这类网站时会提供虚假的信息,例如随机的电话号码和住址等。不过此次黑客公布的是和信用卡交易绑定的姓名、电话和住址,这些基本上都是真实的——除非用户刷的是匿名预付卡。
需要注意的是,Ashley Madison 网站在注册时,不需要确认用户提供的 email 账户是否真的属于他们本人。很多用户因此可能盗用了别人的邮箱。不过虽然这样,有人对曝光的 email 列表进行了统计,发现有大约 15000 人提供的是带政府后缀“.gov”或是军队后缀“.mil”的邮箱地址。而在表单里,甚至还有一个看起来仿佛出自英国前首相布莱尔。
就连 AM 用户的极其私密的约会信息也未能幸免曝光:
“我在寻找一名在家里过得不开心,或者单纯想找点刺激的对象。”一名用户写道,他的地址和电话号码显示他可能是一名加拿大海关和移民局的工作人员。
“我特别喜欢你给我打电话,告诉我只有 15 分钟时间赶到指定地点。一进门,我希望能有一个惊喜,可以是性感的内衣,或者是没有穿衣服的。我喜欢给予和接受惊喜。
我热爱前戏、*交、各种新鲜实验,我幽默、耐力持久、考虑周到。*微笑* ”
此次被公布的登录密码大都是通过 bcrypt 算法进行加密的。Erratasec 的 CEO Robert Graham 称,这是存储密码最安全的办法之一了,不过黑客还是能破解用户的真正密码。只要这些账户还挂在网上,黑客就能截取他们私密的对话。
这是黑客公布 9.7G 数据包的页面,上面写着大大的“时间到了!”
在上个月的攻击时,黑客组织 The Impact Team 要求 ALM 公司关闭 Ashley Madison 网站和Established Men 网站。后者专门帮助年轻漂亮的姑娘和有钱的老男人配对。但是黑客们放过了 ALM 旗下的另一个网站 CougarLife。CougarLife 专门帮助年长的女性和年轻的男性配对。
“ALM 应该永久关闭 AM 网站和 EM 网站。我们已控制了你们全部的系统,掌握了有全部用户信息的数据库,源代码库、财务账单、email 地址……关闭 AM 和 EM 必然会你让蒙受损失,但是不配合的话,我们将曝光全部用户信息。”该黑客组织在最早的声明中写道。
为了表明他们是认真的,黑客还曾发布了一份数据小样。
The Impact Team 发起攻击不光是因为他们谴责这个网站所宣扬的出轨价值观。他们还揭露了 AM 网站许诺的信息删除服务也是个骗人的幌子:
“用户以为付 19 美元就可以删除全部信息。但很遗憾,这是一个彻底的谎言。包括真实姓名和地址的信用卡付款信息并不会被清除,但这恰恰是你们最担心的。
“对不起了男人们。你们就是出轨的人渣。”
黑客们写道,
“也对不起了 ALM 公司,因为你们做了保护隐私的承诺,但不能兑现。”
在遭受了隐私泄露威胁之后,ALM 公司选择了不关闭这两家网站,但同时向提心吊胆的用户保证他们已经加强了网络安全保障。只不过,对于隐私数据已经被攫取的用户们来说,这并没有什卵用。他们即将面的是公开的羞辱、愤怒的伴侣、敲诈勒索、以及会冒用他们信用卡和个人信息的骗子。
数据包的下载页面图片来自:Robert Graham
“ALM 终究还是没有按要求关闭 AM 和 EM 两个网站。”黑客们在最新的声明里写道,“我们已经解释了 ALM 以及其用户的愚蠢和欺骗行为。现在所有人都可以亲眼看看他们的隐私。
别忘了,这个网站上有成千上万虚假的女性信息,90-95% 的真实用户都是男人。
事实上,你家先生很可能登上这个出轨网站寻求婚外恋,但啥也没得到。嗯,如果你在乎这个区别的话。”
The Impact Team 还不忘在声明里劝了劝这些受害者:
“你在这里看到了自己的信息?其实是 ALM 骗了你,让你失望罢了。赶紧起诉他们要求他们赔偿。你的生活还可以继续。我们希望你得到教训,开始弥补你的人生。现在你觉得被羞辱了,但这个坎还是能迈过去的。”
ALM 公司则谴责了黑客组织公布用户隐私的行为:
“这一事件已经不仅仅是黑客攻击那么简单了,这简直就是犯罪。这是对 AM 用户、以及任何一个选择在网上进行合法行为的普通人的非法攻击。”ALM 公司在发出的声明中称,“这些黑客自以为是道德审判者和侩子手,想把自己的价值观加在全社会身上。我们不会坐看这些强盗继续自己价值观的高歌。”
好吧,话虽这么说,但是用户们应该已经坐如针毡了。