Simovits

En oönskad affär!

När man tar upp sidan för Ashley Madison, nu nästan två månader senare, så slås man av två saker: Det första är att den fortfarande är uppe, och det andra är att de har en medalj längst ner som hävdar att de fått utmärkelse för pålitlig säkerhet.

Av vad som går att förstå av vad som lästs på nätet så hackades Ashley Madison den 10 juli i år av en hackergrupp som kallar sig ”Impact team”. Dumpen från hacket publicerades ca tio dagar senare. Vad som var fascinerande var att dumpen bestod av 10 Gbyte. Den innehöll bland annat följande:

  1. Användarnamn, namn, e-postadresser och lösenordshashar för 33 miljoner konton. Användarprofilerna innehöll även sexuella preferenser eller böjelser samt GPS-koordinater.
  2. Ca 15000 av användarnas e-postadresser tillhörde amerikanska myndigheter.
  3. Företagsinterna dokument som bland annat beskrev IT-infrastrukturen för siten.
  4. För en del av kontona fanns delar av kreditkortsnummer samt hemadresser.
  5. Loggar för användning av tjänsten.

Den 18 och 20 augusti dumpades ytterligare 25 Gbyte data på Internet. Dessa dumpar innehöll enligt utsago intern e-post från Ashley Madison samt källkod till siten.

Intressant iakttagelse är dock de sekundära konsekvenser av hacket vilket innebär mycket mer både ur ett integritetsperspektiv, IT-säkerhetsperspektiv och förtroendeperspektiv:

  1. Enligt en kontroll Gizmodo har gjort visade det sig att endast 15000 av de 5 miljoner kvinnliga kontona användes på en regelbunden basis. För varje gång en kvinna kollade sin mailkorg, kollade 13585 män sin mailkorg.
  2. Användare av siten började utpressas. Enligt France24 så återfanns t.ex. 1200 Saudiska e-postadresser. I Saudiarabien kan otrohet straffas med döden.
  3. Vd:n för företaget avgick. Säkerhet är ju trots allt ledningens ansvar.
  4. Källkoden visar enligt Gizmodo att Ashley Madison använde sig av Fembots dvs programvara som utgav sig vara kvinnlig deltagare (också kallat för engagers).
  5. Kunder kunde betala för att ta bort sitt konto från Ashley Madison. Hacket visade att kontona endast deaktiverades och att data aldrig raderades.
  6. Mer än två självmord misstänks relateras till hacket.

Listan kan göras längre. Vi har ännu inte tagit upp kostnader av stämningar, utökade kostnader för att säkra nätet samt förlorade intäkter. Man kan fundera över hur företaget hade gjort sin riskanalys då del lanserade tjänsten. Hacket visar också att konsekvenserna av ett hack kan vara mer långtgående än vad man tidigare har kunnat föreställa sig. Så vad skulle konsekvenserna bli om ni blev hackade och er databas dumpades på nätet? Vi har helt enkelt passerat en gräns där detta numera är en realitet och inte en sannolikhet.

Publicerat 2015-09-01 Skrivet av Mikael Simovits