Благодаря нашумевшему скандалу между компаниями Target и Ashley Madison, участились случаи, когда мы становимся свидетелями того, как сотрудничество со сторонними поставщиками услуг может принести вред “эластичной” среде — где устройства, услуги и приложения регулярно работают в интенсивном режиме, тем самым, предоставляя хакерам возможность проникать в сети предприятий. Вот пятерка распространенных угроз связанных с работой “чужих” поставщиков:

Стабильная прибыль и рост, и практически полное отсутствие интереса инвесторов, думаете это невозможно? Канадский стартап опрокидывает все представления и рвет шаблоны.

Бывают истории, из которых анекдоты придумываются автоматически. Поэтому когда стартап Ashley Madison объявил о своих планах перейти в публичную форму (IPO), по этому поводу не пошутил только ленивый.

Сайт принадлежит, базирующейся в Торонто Avid Life Media, у которой в портфеле есть еще несколько сайтов знакомств. По сообщениям на Bloomberg и Financial Times, компания изучает первичное размещение акций на Лондонской фондовой бирже.

Рассмотрим основные ошибки, связанные с громким скандалом вокруг взлома сервиса Ashley Madison. Попробует проанализировать ситуацию и сделать выводы.

Проект несостоявшегося приложения What’s Your Wife Worth

Драматическая история со взломом сайта знакомств для взрослых Ashley Madison, подробно описанная в предыдущей статье, продолжает обрастать подробностями. Второй архив с данными, попавший на просторы сети, содержит как переписку руководства компании Avid Life Media, так и исходные коды нескольких её сайтов. Известный специалист по компьютерной безопасности рассказал в своём блоге, что он, возможно, напал на след одного из хакеров. Другой исследователь скрупулёзно подсчитал, сколько же на сайте было зарегистрировано реальных женщин.

Исходники сайтов

От того же имени хакерской команды Impact Team в файлообменных сетях появился второй файл, имеющий отношение ко взлому сайта Ashley Madison. В файле объёмом 18,5 Gb можно найти как переписку руководителей Avid Life Media, так и исходные коды нескольких сайтов компании. Кроме Ashley Madison, это исходники ресурсов CougarLife.com, EstablishedMen.com и других.

Естественно, что такая утечка бьёт по безопасности указанных ресурсов. Для любителей взлома будет полезно как следует изучить исходные коды сайта и обнаружить там уязвимости, которые в дальнейшем можно будет использовать в целях проникновения, чтобы, например, стащить базы данных пользователей и оттуда.

Эта утечка подтверждает тот факт, что взломщики изначально получили доступ не столько к сайту Ashley Madison, сколько к корпоративной сети компании. Исследуя доступные материалы, специалисты из компании TrustedSec обнаружили e-mail, содержащий троянскую программу в качестве вложения. Это один из самых распространённых способов получения контроля над компьютером жертвы, и, с большой вероятностью, именно так взломщики проникли сначала на один из компьютеров компании, а потом и в её сеть.

Месяц назад в открытый доступ попали более 36 млн парольных хешей пользователей сайта для супружеских измен Ashley Madison. Скачать базу можно, например, с этого торрента (также дамп № 2 и дамп № 3 в даркнете через гейт).

Пароли обработаны хеш-функций bcrypt. На первый взгляд, такая защита кажется относительно надёжной. Но специалисты из хакерской группы CynoSure Prime решили не тупо брутфорсить bcrypt, а покопаться в исходном коде бэкенда и фронтенда Ashley Madison (исходники доступны по вышеуказанному торренту). Они изучили непосредственно алгоритм хеширования.

В июле сайт Ashley Madison подвергся атаке хакерской группы The Impact Team, в результате чего последними была получена практически вся база пользователей сайта. Сначала хакеры требовали закрыть сайт, шантажируя угрозой публикации этих данных. Когда же администрация сайта не поддалась на шантаж, данные действительно попали в интернет, откуда их, как известно, уже не вырубишь топором. И эта история не была бы такой уж интересной, если бы сайт Ashley Madison не был местом знакомств, специализирующимся на супружеских изменах.

История

Этот канадский сайт был основан в 2001 году как место для поиска свиданий и социальная сеть, с упором на поиск любовниц и любовников. Девиз сайта: «Жизнь коротка – заведи интрижку». Название сайта было составлено из двух популярных женских имён. Ресурс принадлежит компании Avid Life Media, которой владеет канадский интернет-предприниматель Ноэль Байдерман.

Сайт постепенно стал весьма популярным – в 2015 году, по статистике независимого счётчика, его посещали более 124 миллионов человек ежемесячно, и в списке сайтов для взрослых он поднимался до 18 места (да, он неплохо себя чувствовал даже в рейтинге сайтов типа pornhub и xvideos). Сейчас в этом рейтинге он уже на 30-м месте.

Всего на сайте к лету 2015-го было зарегистрировано порядка 39 млн. пользователей из 53 стран, а интерфейс сайта был доступен на 25 языках (включая русский). Большую часть пользователей составляли жители США и Канады. За всю историю развития сайта только один Сингапур запретил выходить проекту на свой рынок. Совет по развитию СМИ Сингапура отверг проект, как «пропагандирующий супружеские измены и принижающий семейные ценности».

Сайт не взимал ежемесячную оплату – вместо этого он проводил монетизацию, продавая внутрисистемные «кредиты». Кредитами было необходимо расплачиваться за право начать разговор с потенциальной «парой», причём разговоры были ограничены по времени. Оплата взималась только с мужчин. Если женщина инициировала чат с мужчиной, тому требовалось потратить кредиты для ответа на него. Кроме этого, компания взимала деньги за удаление учётных записей из системы.

Журналист и аналитик Фонда электронных рубежей Аннели Ньювиц (Annalee Newitz) продолжает изучение исходников сайта знакомств Ashley Madison, которые попали в открытый доступ в августе 2015 года (официальный пост от хакеров из Impact Team со ссылкой на торрент в дарквебе).

В прошлый раз Аннели изучила базу данных, в которой были колонки с названиями “bc_email_last_time,” “bc_chat_last_time” и “email_reply_last_time” — с указанием даты и времени для каждого пользователя. Сначала Аннели и другие специалисты решили, что таблицы содержат информацию о времени последней активности пользователя на сайте. При этом в ячейках было указано недавнее время преимущественно для мужчин, и очень редко для женщин.

На основании этого был сделан вывод, что на сайте присутствует всего 12 000 активных пользователей-женщин и десятки миллионов мужчин. Это оказалось ошибкой. Реальность оказалась куда более куда более интересной. Как выяснилось в ходе дальнейшего анализа исходников, колонки “bc_email_last_time,” “bc_chat_last_time” и “email_reply_last_time” соответствуют не дате и времени последней активности юзера, а дате и времени, когда с ним последний раз контактировал чатбот.