Ashley Madison 데이터 침해

Ashley Madison data breach
시리즈의 일부
컴퓨터 해킹
역사
해커의 문화와 윤리
회의
컴퓨터 범죄
해킹 도구
연습 사이트
말웨어
컴퓨터 보안
무리
출판물

2015년 7월, 자신을 "The Impact Team"이라고 부르는 그룹이 혼외정사를 가능하게 하는 광고 웹사이트인 Ashley Madison의 사용자 데이터를 훔쳤습니다.이 단체는 Ashley Madison이 즉시 종료하지 않을 경우 이 사이트의 사용자 기반에 대한 개인 정보를 복사하고 사용자 이름과 개인 식별 정보를 공개하겠다고 위협했다.8월 18일과 20일, 그룹은 사용자 정보를 포함한 60기가바이트 이상의 회사 데이터를 유출했다.

실명, 집주소, 검색 이력, 신용카드 거래 기록 등 사용자의 개인정보를 삭제하지 않겠다는 이 사이트의 방침 때문에 많은 사용자들은 공개적으로 [1]수치심을 느낄까 두려워했다.

타임라인

Impact Team은 2015년 7월 19일 공격을 발표했으며 모회사인 Avid Life Media가 Ashley Madison과 자매 사이트인 "Established Men"[2]을 폐쇄하지 않으면 Ashley Madison의 사용자 신원을 폭로하겠다고 위협했다.

2015년 7월 20일, 이 웹사이트는 "미디어" 섹션 아래에 위반을 다루는 세 가지 성명을 게시했습니다.웹사이트의 평소 바쁜 트위터 계정은 언론 [3]성명을 올리는 것과 별개로 조용해졌다.1개의 스테이트먼트 읽기:

현시점에서는, 사이트의 시큐러티를 확보해, 부정 액세스 포인트를 폐쇄할 수 있었습니다.우리는 이 범죄 행위를 수사하고 있는 법 집행 기관과 협력하고 있습니다.이 사이버 테러 행위에 책임이 있는 모든 당사자는 책임을 집니다.DMCA(Digital Millennium Copyright Act)를 사용하여 온라인에 [4]게시된 모든 개인 식별 정보(PII)뿐만 아니라 이 사건과 관련된 게시물을 삭제했습니다.

그 사이트는 또한 계정 삭제 비용을 면제해 주겠다고 제안했다.

Ashley Madison은 7월 [5]21일에 고객 레코드의 대량 공개가 발생했다는 보도를 부인했지만,[6] 60기가바이트 이상의 데이터가 8월 18일에 유효한 것으로 확인되었습니다.이 정보는 10기가바이트 압축 아카이브 형태로 비트토렌트에 공개되었으며, 이 정보에 대한 링크는 익명 네트워크 [7]Tor를 통해서만 접근할 수 있는 어두운 웹사이트에 게시되었다.데이터는 PGP 키로 암호화 서명되었습니다[8].이 단체는 메시지에서 Avid Life Media를 비난하며 "우리는 ALM과 그 회원들의 사기, 기만, 어리석음을 설명했습니다.이제 모든 사람이 자신의 데이터를 볼 수 있게 되었습니다.ALM에게는 유감입니다.비밀을 약속했지만 [9]이행하지 않았습니다.

이에 대해 Avid Life Media는 이 회사가 조사를 위해 당국과 협력하고 있으며 해커들은 해커들이 아니라 [10]범죄자들이라고 밝혔다.두 번째 대규모 데이터 덤프는 2015년 8월 20일 발생했으며, 이 중 가장 큰 파일은 Avid Life [11]Media의 CEO인 Noel Biderman의 이메일을 포함한 12.7기가바이트의 기업 e-메일로 구성되었습니다.

2017년 7월 Avid Life Media(Ruby Corporation으로 명칭 변경)는 침해로 인한 24건의 소송을 1120만달러에 [12][13]해결하기로 합의했다.

영향과 윤리

웹사이트의 어떤 계정도 프로파일을 만들기 위해 이메일 확인이 필요하지 않습니다. 즉, 사람들은 종종 가짜 이메일 주소로 프로파일을 만듭니다.Ashley Madison의 회사는 이메일 계정 소유자에게 프로필을 삭제하기 위해 돈을 지불하도록 요구했습니다.이것에 의해, 자신의 동의 없이 계정을 설정한 사람들이(장난이나 잘못 입력한 이메일) 돈을 [14]지불하지 않고 계정을 삭제하는 것을 막을 수 있었습니다.해커들은 Avid Life Media가 사이트에 생성된 사용자 프로필을 폐쇄하기 위해 돈을 지불하는 사람들로부터 연간 170만 달러를 받았다고 주장한다.이 회사는 이들에게 돈을 지불하면 프로필이 완전히 삭제될 것이라고 거짓 주장했지만 해킹은 사실이 아니었다.[14]

Josh Duggar는 데이터가 침해된 Ashley Madison의 주목할 만한 사용자 중 한 명이었다.

해킹 사건 이후 인터넷 자경단원들은 유명 [15]인사들을 찾기 위해 샅샅이 뒤지기 시작했다.프랑스24는 유출된 데이터베이스에는 사우디 아라비아의 .sa라는 이메일 주소가 1200여 개 있다고 보도했는데,[16] 이는 사우디에서 간통죄는 사형에 처해질 수 있기 때문에 더욱 강탈하기 쉬운 것이었다.이 사이트에는 수천 개의 미국 .mil과 .gov [17][18][19]이메일 주소가 등록되어 있다.침입 후 며칠 동안, 갈취범들은 유출된 정보에 포함된 사람들을 목표로 삼기 시작했고,[20][21][22] 그들에게서 200달러 상당의 Bitcoins사기치려고 시도했다.한 회사는 동료나 배우자의 이메일 주소를 웹사이트에 입력할 수 있는 검색엔진을 제공하기 시작했고, 이메일 주소가 유출되면 회사에 [23][24]돈을 주지 않으면 그들의 정보가 노출될 것이라고 협박하는 편지를 보내왔다.

다양한 보안 연구자들과 인터넷 사생활 보호 활동가들은 [15][25][26][27]회원으로 밝혀진 사용자 이름과 같은 데이터의 세부 사항을 보도하는 기자들의 미디어 윤리에 대해 논의했다.많은 논객들은 해킹을 2014년 연예인 사진 [28][29]해킹 과정에서 사생활이 침해된 것에 비유했다.

임상 심리학자들은 특히 공공장소에서 불륜을 다루는 것이 배우자와 자녀들의 [30]상처를 증가시킨다고 주장했다.캐롤린 그레고이어는 "소셜미디어는 개인이 정신적 피해를 감수하는 공격적인 대중적 수치심을 만들어냈다"며 "형벌은 [30]범죄의 범위를 넘어선다"고 주장했다.Graham Cluley는 수치심을 느낀 사람들에게 미치는 심리적 영향은 엄청날 수 있으며, 어떤 사람들은 괴롭힘을 당해 [31][32]자살할 수도 있다고 주장했다.부정행위를 하는 여성에 대한 연구를 하기 위해 사이트에 가입한 찰스 J. 올란도는 "인터넷을 사용하는 폭도들은 판사, 배심원, 사형 집행인으로 활동할 용의가 있다"며 "수백만 명이 있는 가상 마을 광장에서 채찍질을 할 자격이 없다"고 말했다.'방관자'[33]라고 써있는데요.

2015년 8월 24일 토론토 경찰은 "해킹과 [34][35]관련된 증오 범죄 보고서"와 더불어 확인되지 않은 두 건의 자살이 데이터 침해와 연관되어 있다고 발표했다.확인되지 않은 보도에 따르면 미국에서 한 남성이 [23]자살로 사망했다고 한다.이전에 애슐리 매디슨과 관련이 있었던 적어도 한 건의 자살은 [36]"데이터 유출과 관련이 없는 직장 내 문제와 전적으로 관련된 스트레스" 때문인 것으로 보고되었다.

2015년 8월 24일, 뉴올리언스 침례 신학교의 목사 겸 교수가 6일 [37]전에 발생한 누출을 이유로 자살했다.

정보가 유출된 사용자들은 캐나다 로펌인 Strosberg LLP [38]Charney Laws and Sutts를 통해 Ashley Madison의 소유주인 Avid Dating Life와 Avid Media를 상대로 5억6700만달러의 집단 소송을 제기하고 있다.2017년 7월, 루비의 소유주는 1,120만 달러에 [39]대한 소송을 해결할 것이라고 발표했다.Ashley Madisons 최고전략책임자 Paul Keable은 2019년 인터뷰에서 [40]2015년부터 해커 공격을 받은 결과 2단계 검증, PCI 컴플라이언스 및 완전 암호화 브라우징과 같은 보안 기능이 설치되었음을 확인했습니다.

데이터 분석

아날리 뉴이츠 기즈모도 편집장은 유출된 [41]데이터를 분석했다.그녀는 처음에 등록된 550만 개의 여성 계정 중 약 12,000개만이 정기적으로 사용되고 있다는 것을 발견했는데, 이는 1000개 중 3개, [42][43]즉 1% 미만이다.나머지는 등록된 날 한 번만 사용되었습니다.그녀는 또한 여성의 계정 중 매우 많은 수가 같은 IP 주소에서 생성되었다는 것을 발견했는데, 이는 가짜 계정이 많다는 것을 암시한다.그녀는 여성이 이메일 메시지를 자주 확인하지 않는 것을 발견했다. 여성이 이메일을 확인할 때마다 13,585명의 남성이 이메일을 확인했다.5백만 명의 여성 계정 중 오직 9천700명만이 같은 일을 할 수 있는 590만 명의 남성들에 비해 메시지에 답신을 한 적이 있다.그녀는 "여성의 계좌는 거의 활동을 하지 않아 그곳에 없는 편이 나을 것 같다"[42]고 결론지었다.다음 주 기사에서 뉴이츠는 이전 기사에서 "증거를 잘못 이해했다"고 인정했으며, 이 사이트에서 활동하는 여성이 거의 없다는 결론은 사실 회원들과 접촉하는 "봇" 활동을 기록한 데이터에 근거하고 있었다.그녀는 "Impact Team의 Ashley Madison 데이터베이스 덤프에는 인간의 활동을 기록한 데이터가 전혀 없습니다.가짜 인간들이 진짜 인간들과 [44]접촉했을 때 밖에 볼 수 없다.

라이브 사이트의 패스워드는 bcrypt [45][46]알고리즘을 사용하여 해시 처리되었습니다.RockYou 비밀번호를 기반으로 한 사전함께 Hashcat 비밀번호 복구 도구를 사용하는 보안 분석가는 가장 쉽게 해독할 수 있는 4,000개의 비밀번호 중 "123456"과 "password"가 라이브 웹사이트에서 가장 일반적으로 사용되는 비밀번호라는 것을 발견했습니다.아카이브된 버전에서 사용된 오래된 비밀번호를 분석한 결과 "123456"과 "password"가 가장 일반적으로 사용되는 [47]비밀번호로 나타났습니다.bcrypt와 MD5 모두에서 패스워드가 해시된 설계 오류로 인해 최종적으로 1,100만 개의 패스워드가 [48]파손되었습니다.

클레어 브라우넬은 튜링 테스트가 수백만 명의 남성들을 속여 특별 계정을 [49]사게 한 여성을 모방하는 챗봇들에 의해 통과될 수 있다고 제안했다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ Thomsen, Simon (20 July 2015). "Extramarital affair website Ashley Madison has been hacked and attackers are threatening to leak data online". Business Insider. Retrieved 21 July 2015.
  2. ^ "Online Cheating Site AshleyMadison Hacked". krebsonsecurity.com. 15 July 2015. Retrieved 20 July 2015.
  3. ^ "Ashley Madison". twitter.com. Retrieved 20 August 2015.
  4. ^ "STATEMENT FROM AVID LIFE MEDIA, INC". Ashley Madison. 20 July 2015. Archived from the original on 21 July 2015. Retrieved 22 July 2015.
  5. ^ Hern, Alex (21 July 2015). "Ashley Madison customer service in meltdown as site battles hack fallout". The Guardian.
  6. ^ "Ashley Madison condemns attack as experts say hacked database is real". The Guardian. 19 August 2015. Retrieved 19 August 2015.
  7. ^ Hern, Alex (20 August 2015). "Ashley Madison hack: your questions answered". The Guardian.
  8. ^ "No, You Can't Hire A Hacker To Erase You From The Ashley Madison Leak". Fast Company. 20 August 2015.
  9. ^ "Hackers Finally Post Stolen Ashley Madison Data". WIRED. 18 August 2015. Retrieved 19 August 2015.
  10. ^ "Statement from Avid Life Media Inc. – August 18, 2015". Ashley Madison. 18 August 2015. Archived from the original on 19 August 2015. Retrieved 19 August 2015.
  11. ^ Pagliery, Jose (20 August 2015). "Hackers expose Ashley Madison CEO's emails". CNNMoney.
  12. ^ Kravets, David (17 July 2017). "Lawyers score big in settlement for Ashley Madison cheating site data breach". Ars Technica. Retrieved 19 July 2017.
  13. ^ Ruby Life Inc. (14 July 2017). "Ruby Corp and Plaintiffs Reach Proposed Settlement of Class Action Lawsuit Regarding Ashley Madison Data Breach". PR Newswire (Press release). Retrieved 19 July 2017.
  14. ^ a b "Some Dude Created an Ashley Madison Account Linked to My Gmail, and All I Got Was This Lousy Extortion Screen". The Intercept. 21 July 2015. Retrieved 24 August 2015.
  15. ^ a b "Early Notes on the Ashley Madison Hack". The Awl. Archived from the original on 21 August 2015. Retrieved 20 August 2015.
  16. ^ "Americas - The global fallout of the Ashley Madison hack". France 24. 20 August 2015. Retrieved 24 August 2015.
  17. ^ Gibbons-Neff, Thomas (19 August 2015). "Thousands of .mil addresses potentially leaked in Ashley Madison hack". Washington Post.
  18. ^ "Report: Hack of Adultery Site Ashley Madison Exposed Military Emails". Military.com. 31 October 2017.
  19. ^ Ewing, Philip (20 August 2015). "Pentagon investigating whether troops used cheating website". POLITICO.
  20. ^ Krebs, Brian (21 August 2015). "Extortionists Target Ashley Madison Users". Krebs on security.
  21. ^ "Extortion begins for Ashley Madison hack victims". TheHill. 21 August 2015. Retrieved 24 August 2015.
  22. ^ "Ashley Madison users now facing extortion". FOX2now.com. 21 August 2015. Retrieved 24 August 2015.
  23. ^ a b "Ashley Madison spam starts, as leak linked to first suicide". theregister.co.uk.
  24. ^ "The Ashley Madison files – are people really this stupid?". theregister.co.uk.
  25. ^ "In the wake of Ashley Madison, towards a journalism ethics of using hacked documents". Online Journalism Blog. 20 July 2015. Retrieved 20 August 2015.
  26. ^ "Ashley Madison hack: The ethics of naming users - Fortune". Fortune. Retrieved 20 August 2015.
  27. ^ "Jon Ronson And Public Shaming". onthemedia.
  28. ^ "Ashley Madison hack: The depressing rise of the 'moral' hacker". Telegraph.co.uk. 20 August 2015.
  29. ^ "As our own privacy becomes easier to invade, are we losing our taste for celebrity sleaze?". newstatesman.com. 5 August 2015.
  30. ^ a b Gregoire, Carolyn (20 August 2015). "Ashley Madison Hack Could Have A Devastating Psychological Fallout". The Huffington Post.
  31. ^ "The Ashley Madison hack - further thoughts on its aftermath". Graham Cluley. 28 July 2015.
  32. ^ Farhad Manjoo (6 September 2015). "Hacking victims deserve empathy, not ridicule". Sydney Morning Herald.
  33. ^ Charles J. Orlando (23 July 2015). "I Was Hacked on Ashley Madison – But It's You Who Should Be Ashamed". Yahoo! Style. Retrieved 8 October 2015 – via Your Tango.
  34. ^ "Ashley Madison hack: 2 unconfirmed suicides linked to breach, Toronto police say". CBC. 24 August 2015. Retrieved 24 August 2015.
  35. ^ "Suicide and Ashley Madison". Graham Cluley. 24 August 2015.
  36. ^ Beltran, Jacob (25 August 2015). "Widow addresses suicide of SAPD captain linked to Ashley Madison site". San Antonio Express News. Retrieved 27 August 2015.
  37. ^ Laurie Segall (8 September 2015). "Pastor outed on Ashley Madison commits suicide". CNNMoney.
  38. ^ "Ashley Madison faces huge class-action lawsuit". BBC News. 23 August 2015. Retrieved 24 August 2015.
  39. ^ "Ashley Madison parent in $11.2 million settlement over data breach". CNBC. 15 July 2017. Retrieved 15 July 2017.
  40. ^ "Ashley Madison Review". Datingscout.com.
  41. ^ Newitz, Annalee (27 August 2015). "The Fembots of Ashley Madison". Gizmodo. Retrieved 28 August 2015.
  42. ^ a b Reed, Brad (27 August 2015). "The most hilarious revelation about the Ashley Madison hack yet". Yahoo! Tech. Retrieved 28 August 2015.
  43. ^ Gallagher, Paul (27 August 2015). "Ashley Madison hack: Just three in every 10,000 female accounts on infidelity website are real". The Independent.
  44. ^ Newitz, Annalee (31 August 2015). "Ashley Madison Code Shows More Women, and More Bots". Gizmodo. Retrieved 19 December 2015.
  45. ^ Dean Pierce. "Sophisticated Security". pxdojo.net.
  46. ^ Zack Whittaker. "This is the worst password from the Ashley Madison hack". ZDNet.
  47. ^ Include Security (19 August 2015). "Include Security Blog - As the ROT13 turns....: A light-weight forensic analysis of the AshleyMadison Hack". includesecurity.com. Retrieved 20 August 2015.
  48. ^ Goodin, Dan (10 September 2015). "Once seen as bulletproof, 11 million+ Ashley Madison passwords already cracked". Ars Technica. Retrieved 10 September 2015.
  49. ^ Claire Brownell (11 September 2015). "Inside Ashley Madison: Calls from crying spouses, fake profiles and the hack that changed everything". Financial Post.