正義的黑客!弄死不地道的網站 曝光出軌的渣渣
英文原文:Hackers posted stolen AM data
早在 7 月,全球最大婚外情網站 Ashley Madison 被黑。當時,黑客組織 The Impact Team 稱,他們掌握了近 4000 萬用戶的真實姓名、住址和信用卡明細,如果 AM 網站不永久關閉,他們將曝光所有資料——現在,他們的說法真的兌現了。
8 月 18 日,黑客們通過洋蔥瀏覽器(Tor browser)將大約 9.7G 的用戶隱私數據包發布在了暗網上。這些數據文件大約包括了 3200 萬用戶的賬戶信息,登陸密碼,以及近 7 年的信用卡或其他支付手段的交易明細,其中上百萬次交易明細中包括了姓名、住址、email 信息、以及付款金額。
“我們是最知名的出軌和已婚約會網站,”Ashley Madison 網站一直在自己的首頁上宣稱,“今天就來這里尋找一次約會,每天都有成千上萬名不忠的丈夫和妻子加入我們。通過我們的約會配對服務,我們保證你能找到最完美的出軌對象。”
AM 網站的中文頁面
雖然之前的經驗表明,很多用戶在注冊這類網站時會提供虛假的信息,例如隨機的電話號碼和住址等。不過此次黑客公布的是和信用卡交易綁定的姓名、電話和住址,這些基本上都是真實的——除非用戶刷的是匿名預付卡。
需要注意的是,Ashley Madison 網站在注冊時,不需要確認用戶提供的 email 賬戶是否真的屬于他們本人。很多用戶因此可能盜用了別人的郵箱。不過雖然這樣,有人對曝光的 email 列表進行了統計,發現有大約 15000 人提供的是帶政府后綴“.gov”或是軍隊后綴“.mil”的郵箱地址。而在表單里,甚至還有一個看起來仿佛出自英國前首相布萊爾。
就連 AM 用戶的極其私密的約會信息也未能幸免曝光:
“我在尋找一名在家里過得不開心,或者單純想找點刺激的對象。”一名用戶寫道,他的地址和電話號碼顯示他可能是一名加拿大海關和移民局的工作人員。
“我特別喜歡你給我打電話,告訴我只有 15 分鐘時間趕到指定地點。一進門,我希望能有一個驚喜,可以是性感的內衣,或者是沒有穿衣服的。我喜歡給予和接受驚喜。
我熱愛前戲、*交、各種新鮮實驗,我幽默、耐力持久、考慮周到。*微笑* ”
此次被公布的登錄密碼大都是通過 bcrypt 算法進行加密的。Erratasec 的 CEO Robert Graham 稱,這是存儲密碼最安全的辦法之一了,不過黑客還是能破解用戶的真正密碼。只要這些賬戶還掛在網上,黑客就能截取他們私密的對話。
這是黑客公布 9.7G 數據包的頁面,上面寫著大大的“時間到了!”
在上個月的攻擊時,黑客組織 The Impact Team 要求 ALM 公司關閉 Ashley Madison 網站和 Established Men 網站。后者專門幫助年輕漂亮的姑娘和有錢的老男人配對。但是黑客們放過了 ALM 旗下的另一個網站 CougarLife。CougarLife 專門幫助年長的女性和年輕的男性配對。
“ALM 應該永久關閉 AM 網站和 EM 網站。我們已控制了你們全部的系統,掌握了有全部用戶信息的數據庫,源代碼庫、財務賬單、email 地址……關閉 AM 和 EM 必然會你讓蒙受損失,但是不配合的話,我們將曝光全部用戶信息。”該黑客組織在最早的聲明中寫道。
為了表明他們是認真的,黑客還曾發布了一份數據小樣。
The Impact Team 發起攻擊不光是因為他們譴責這個網站所宣揚的出軌價值觀。他們還揭露了 AM 網站許諾的信息刪除服務也是個騙人的幌子:
“用戶以為付 19 美元就可以刪除全部信息。但很遺憾,這是一個徹底的謊言。包括真實姓名和地址的信用卡付款信息并不會被清除,但這恰恰是你們最擔心的。
“對不起了男人們。你們就是出軌的人渣。”
黑客們寫道,
“也對不起了 ALM 公司,因為你們做了保護隱私的承諾,但不能兌現。”
在遭受了隱私泄露威脅之后,ALM 公司選擇了不關閉這兩家網站,但同時向提心吊膽的用戶保證他們已經加強了網絡安全保障。只不過,對于隱私數據已經被攫取的用戶們來說,這并沒有什卵用。他 們即將面的是公開的羞辱、憤怒的伴侶、敲詐勒索、以及會冒用他們信用卡和個人信息的騙子。
數據包的下載頁面圖片來自:Robert Graham
“ALM 終究還是沒有按要求關閉 AM 和 EM 兩個網站。”黑客們在最新的聲明里寫道,“我們已經解釋了 ALM 以及其用戶的愚蠢和欺騙行為。現在所有人都可以親眼看看他們的隱私。
別忘了,這個網站上有成千上萬虛假的女性信息,90-95% 的真實用戶都是男人。
事實上,你家先生很可能登上這個出軌網站尋求婚外戀,但啥也沒得到。嗯,如果你在乎這個區別的話。”
The Impact Team 還不忘在聲明里勸了勸這些受害者:
“你在這里看到了自己的信息?其實是 ALM 騙了你,讓你失望罷了。趕緊起訴他們要求他們賠償。你的生活還可以繼續。我們希望你得到教訓,開始彌補你的人生。現在你覺得被羞辱了,但這個坎還是能邁過去的。”
ALM 公司則譴責了黑客組織公布用戶隱私的行為:
“這一事件已經不僅僅是黑客攻擊那么簡單了,這簡直就是犯罪。這是對 AM 用戶、以及任何一個選擇在網上進行合法行為的普通人的非法攻擊。”ALM 公司在發出的聲明中稱,“這些黑客自以為是道德審判者和儈子手,想把自己的價值觀加在全社會身上。我們不會坐看這些強盜繼續自己價值觀的高歌。”
好吧,話雖這么說,但是用戶們應該已經坐如針氈了。