Эшли Мэдисон это канадский сайт со структурой, похожей на социальную сеть, которая объединяет людей, ищущих внебрачные связи, тайные приключения с партнерами, отличными от обычных, или просто новые встречи. Услуга платная и для регистрации нужно предоставить несколько давать личные, такие как имя, фамилия, дата рождения, национальность, рост, вес, цвет глаз и волос и адрес электронной почты.
Чтобы активировать определенные функции сайта, гости могут совершить покупку, используя способы оплаты, включающие кредитная карта, серия самообновляющихся пакетов членства, с помощью которых можно взаимодействовать с другими пользователями. На этом этапе каждый активный счет может быть подключен к банковскому счету и, следовательно, к одному точная идентичность.
Что ж, все эти данные вместе со всеми полезными ссылками для составления упорядоченной коллекции были обнародовано в Интернете в конце июля. Поэтому есть возможность узнать все имена и фамилии тех, кто ради забавы или из реального намерения предать, воспользовался – а также возможно узнать как – услугами сайта Эшли Мэдисон.
Нарушение, из-за которого генеральный директор ушел в отставку Ноэль Бидерман, было заявлено группой хакеров, называющих себя «Группа воздействия“. Мотив? На сайте, по словам ответственных за кибератаку, не было сбалансированного количества активных «женщин-пользователей» по сравнению с количеством пользователей-мужчин.
Если оставить в стороне юридические аспекты, ужасные последствия — двое американцев и канадец покончили жизнь самоубийством из-за смущения, вызванного необходимостью объяснять своим партнерам присутствие их имен в списке, — и гротескный аспект этой истории, некоторые выводы, безусловно, можно сделать. можно извлечь уроки, касающиеся управления безопасностью данных в Интернете, но также — и, к сожалению, — здравый смысл.
Прежде всего, награда Trusted Security Award, которая выделяется на главной странице веб-сайта Ashley Madison, а также значок замка «SSL Secure Site» показывают, что стандарты безопасности вовсе не достаточны для того, чтобы доставщики спокойно спали в руки других такая конфиденциальная и личная информация.
Тот факт, что примерно 15.000 XNUMX адресов электронной почты, используемых для регистрации, окончание «.gov» или «.mil», красноречиво говорит о легкости, с которой обычные пользователи используют ИТ-инструменты, доступные в их рабочей среде, в личных целях.
Пароли хранились не в открытом виде, а через система bcrypt. Однако даже у этой защиты, похоже, дни сочтены. У многих руководителей Ashley Madison были учетные записи на сайте, и они пользовались предоставляемыми ими услугами. И они первыми нарушили самые основные правила управления безопасностью чужих и собственных данных. В их архивах были истории семилетних транзакций по кредитным картам и пароли других платежных систем, таких как PayPal, которые, как оказалось, имели типичные коннотации низкой надежности: короткие, повторяющиеся и легко угадываемые слова.
Не говоря уже о том, кто даже пользовался службой обмена сообщениями Facebook, что однозначно связывает личность человека с аккаунтом на Ashley Madison, для регистрации на сайте.
Есть операция, которую сейчас проделывают многие случайные пользователи сайта знакомств, не осознавая, что рискуют усугубить ситуацию: поиск своего имени, аккаунта, электронной почты в разных сайты, которые появляются как грибы после дождя, чтобы увидеть, не является ли он частью тех, что распространяются в Интернете. Так же просто и быстро, как выполнить поиск в Google, без необходимости идти и загружать весь объем данных, но риск заключается в том, что эти база данных они могут собрать и раскрыть разглашена именно та конфиденциальная информация, которой он опасается, но которая еще не раскрыта или ожидает простого раскрытия подтверждение...
Один из этих инструментов, например, отправляет электронные письма людям, чей адрес был найден кем-то в поисковой системе, а затем посоветуйте как действовать или как узнать больше о вашем предполагаемом присутствии в списке.
Мораль истории: в Интернете, несмотря на т.н.облачная эра«Доверение ваших данных — более или менее компрометирующих — неизвестным третьим лицам не гарантирует, что алгоритмы и опытные руки могут проявить большую заботу, чем та, которую мог бы иметь законный владелец. Распространите эти данные в Интернете для удобства это также представляет собой значительную повышенный фактор риска.
