آشلي ماديسون هو موقع كندي له هيكل مشابه لشبكة اجتماعية تربط الأشخاص الذين يبحثون عن علاقات خارج نطاق الزواج ، أو مغامرات سرية مع شركاء غير المعتادين أو مجرد لقاءات جديدة. الخدمة مدفوعة وللتسجيل تحتاج إلى تقديم عدة البيانات الشخصية، مثل الاسم واللقب وتاريخ الميلاد والجنسية والطول والوزن والعين ولون الشعر وعنوان البريد الإلكتروني.
لتنشيط وظائف معينة في الموقع ، يمكن للضيوف الشراء باستخدام طرق الدفع التي تشمل بطاقة إئتمان، سلسلة من حزم العضوية ذاتية التجديد للتفاعل مع المستخدمين الآخرين. في هذه المرحلة ، يمكن ربط كل حساب نشط بحساب مصرفي وبالتالي بحساب آخر هوية دقيقة.
حسنًا ، كل هذه البيانات ، جنبًا إلى جنب مع جميع المراجع المفيدة لعمل مجموعة مرتبة ، كانت كذلك علنًا على الإنترنت في نهاية شهر يوليو. لذلك هناك إمكانية لمعرفة جميع الأسماء والألقاب لأولئك الذين استخدموا - ومن الممكن أيضًا معرفة كيفية - خدمات موقع Ashley Madison للمتعة أو بدافع النية الحقيقية للخيانة.
المخالفة التي تسببت في استقالة الرئيس التنفيذي نويل بيدرمان، من قِبل مجموعة من المتسللين يطلقون على أنفسهم "فريق التأثير". الدافع؟ الموقع ، وفقًا للمسؤولين عن الهجوم السيبراني ، لم يكن لديه عدد متوازن من "المستخدمين الإناث" النشطات مقارنةً بالمستخدمين الذكور.
وبغض النظر عن الجوانب القانونية ، فإن العواقب الوخيمة - انتحر رجلان أمريكيان وكندي بسبب الإحراج من الاضطرار إلى شرح وجود أسمائهم في القائمة لشركائهم - والجانب الغريب من القصة ، يمكن لبعض الاستنتاجات بالتأكيد استخلاص التعاليم المتعلقة بإدارة أمن البيانات على الإنترنت ، ولكن أيضًا - وللأسف - الفطرة السليمة.
أولاً وقبل كل شيء ، تُظهر "جائزة Trusted Security Award" التي تبرز على الصفحة الرئيسية لموقع Ashley Madison الإلكتروني ، بالإضافة إلى رمز قفل "SSL Secure Site" ، أن معايير الأمان ليست كافية على الإطلاق لجعل الموظِّفين ينامون بسلام في في أيدي الآخرين مثل هذه المعلومات الحساسة والشخصية.
حقيقة أن ما يقرب من 15.000 عنوان بريد إلكتروني تستخدم للتسجيل لديها إنهاء ".gov" أو ".mil"، يتحدث عن السهولة التي يعتمدها المستخدمون العاديون في استخدام أدوات تكنولوجيا المعلومات المتاحة في بيئة عملهم ، للأغراض الشخصية.
لم يتم تخزين كلمات المرور في نص واضح ، ولكن عبر ملف نظام bcrypt. ومع ذلك ، حتى هذه الحماية يبدو أن أيامها معدودة. كان لدى العديد من المديرين التنفيذيين في آشلي ماديسون حسابات على الموقع واستخدموا الخدمات التي قدموها. وكانوا أول من ينتهك أكثر من غيرهم قواعد إدارة السلامة الأساسية للآخرين وبياناتهم الخاصة. في أرشيفاتهم ، كان هناك مؤرخون لسبع سنوات من معاملات بطاقات الائتمان وكلمات مرور أنظمة الدفع الأخرى مثل PayPal ، والتي يبدو أن لها دلالات نموذجية لضعف الموثوقية: كلمات قصيرة ومتكررة وسهلة التخمين.
ناهيك عن من استخدم خدمة المراسلة لـ فيسبوك، والذي يربط بشكل لا لبس فيه هوية الشخص بالحساب على Ashley Madison ، للتسجيل في الموقع.
هناك عملية يقوم بها الآن العديد من المستخدمين العاديين لموقع المواعدة دون أن يدركوا أنهم يخاطرون بجعل الموقف أسوأ: البحث عن اسم الشخص ، أو الحساب ، أو البريد الإلكتروني ، داخل الموقع المختلف. المواقع التي ظهرت مثل الفطر، لمعرفة ما إذا كان جزءًا من تلك المنتشرة على الإنترنت. بسيط وسريع مثل إجراء بحث على Google ، دون الحاجة إلى الذهاب وتنزيل كمية البيانات بالكامل ، ولكن الخطر يكمن في أن هذه قاعدة بيانات تستطيع اجمع واكشف على وجه التحديد ، تم الكشف عن المعلومات السرية التي يخشى منها ، ولكنها لم يتم الكشف عنها بعد أو التي تنتظر معلومات بسيطة تأكيد...
إحدى هذه الأدوات ، على سبيل المثال ، ترسل رسائل بريد إلكتروني إلى الأشخاص الذين تم البحث عن عنوانهم بواسطة شخص ما داخل محرك البحث ثم تقديم المشورة بشأن كيفية التصرف أو كيفية معرفة المزيد عن وجودك المزعوم في القائمة.
أخلاق القصة: على الإنترنت رغم ما يسمى بـ "عصر السحابة"، لا يضمن إسناد بياناتك - بشكل أو بآخر - إلى أطراف ثالثة غير معروفة أن الرعاية التي يمكن أن تتخذها الخوارزميات وأيدي الخبراء أكبر من تلك التي قد يتمتع بها المالك الشرعي. توزيع هذه البيانات على الإنترنت للراحة فإنه يمثل أيضًا قدرًا كبيرًا من زيادة عامل الخطر.
