Ashley Madison 资料外漏的风波越演越大,有使用该站的人被威胁甚至自杀。自称 Impact Team 的骇客宣称破解 Ashley Madison CEO Noel Biderman。看来有部分邮件已经可以读取了。有人发现 CEO Biderman 往来的信件中,提及用对手网站的漏洞侵入并成功窃取使用者资料。
2012 年 10 月 30 日,当时 Ashley Madison 的 CTO Raja Bhatia 发现美国两性杂志 nerve.com 网站的漏洞,Bhatia 表示他们网站没做得很好,很容易就取得所有使用者资料。Biderman 一收到信得知对手的漏洞,马上指示侵入对方系统。
信件的日期从 2012 年 1 月至 2015 年 7 月 7 日,与 Ashley Madison 资料泄漏的时间点 7 月 12 日相比可说是这些资料泄漏的时间点相当近。
另一个有趣的地方是 Ashley Madison 在最近几个月在加强员工的资安警觉,似乎察觉异状。在一封 2015 年 5 月 25 日的信件中,CEO Biderman 说:“由于我们开放注册的缘故,还有最近的高曝光,每个资安顾问和其他家族会尝试摧残我们的事业。我们的程式有许多容易找到的 XSS/CRSF 漏洞 (对资安专家来说),也有相当困难的漏洞 (需要钓鱼式攻击)。其他的漏洞像是 SQL injection/data leaks,对我们的损害较大。”
加拿大警方说 Ashley Madison 悬赏 500,000 加拿大币给提供这次泄漏事件线索的人。由于骇客擅长隐藏其踪迹,从 Ashley Madison 那边难以找到线索,不如就看有没有人愿意指认他们是谁。功利高超的骇客往往会太自傲而曝露其行踪和做过的事情,也许悬赏能够增加逮到人的机会。
另外这些 email 里还有异业合作的往来信件,其中一封信有 100 页左右的剧本附档,就是 CEO Biderman 跟剧作家合作,打算推出以 Ashley Madison 公司故事启发的电影。
声称要公布台湾贪污档案?
另外有自称 Impact Team 的人,声称要在明年二月公布台湾政府官员贪污的资料。比起 Ashely Madison 的声明,英文程度应是近 native speaker,这次说要公布台湾政府贪污资料的声明,英文程度明显差太多了,估计是假的。再来是 Ashely Madison 经济多年,使用者传递的咸湿照片、网站程式码还有内部文件,加一加也不过 200 GB 大小,台湾的数字化程度来说,这些所谓贪污档案有 91 GB,可能高估了。另外也没有看到每次 Impact Team 现身时,会附上他们的 Hash: SHA1 电子签名。
相关连结
- Leaked AshleyMadison Emails Suggest Execs Hacked Competitors
- Ashley Madison puts $377,000 bounty on hackers’ heads
- Ashley Madison Founder Apparently Co-Wrote a 100-Page Movie Script
