Il y a ce mot allemand que j'aime: Schadenfreude. C'est un de ces mots bizarres qui n'ont pas vraiment de traduction directe en anglais, mais cela signifie en gros prendre de la joie pour le malheur des autres. Il décrit essentiellement ce que je ressens à propos de ce qui est arrivé à Ashley Madison récemment.
Ashley Madison, pour ceux qui ne sont pas au courant, est un site de rencontres axé sur la facilitation des relations extraconjugales. Il peut être considéré comme le Facebook de la philanthropie, avec plus de 37 millions d'utilisateurs adultérins enregistrés. Comme c'est souvent le cas avec les sites de rencontre, la grande majorité de leurs abonnés (entre 90 et 95%) étaient des hommes.
C'est là qu'intervient le schadenfreude. Ils ont récemment été piratés par l'Impact Team - un groupe de pirates autrement inconnu - qui menaçait de fuir toute leur base de données à moins que le site Web tricheur (et les sites compagnons Established Men et Cougar Life) ne soit fermé.
Avid Life Media, qui possède Ashley Madison, a refusé de se conformer. Plus tôt dans la matinée, 9 Go de données du site ont été déposées sur un site Web de Tor darknet. Il contenait tout . Non seulement les noms d'utilisateur et les courriels, mais aussi les courriels internes, les documents d'entreprise, les préférences sexuelles, les données biographiques et même les emplacements GPS. Ouch .
En passant par une décharge ... Ce n'était pas un hack de base de données. C'était la pleine échelle de toute l'entreprise. Les hachages de domaine, les docs internes à gogo.
- Dave Kennedy (ReL1K) (@HackingDave) 19 août 2015
Si vous étiez pris dans la fuite d'Ashley Madison, permettez-moi d'exprimer un sincère et un hawaïen de type Nelson Muntz. Je dois admettre que je ne suis pas très sympathique. Mais encore, en tant qu'écrivain de sécurité, je me sens obligé de vous dire quelques petites choses.
Changez vos mots de passe
Ashley Madison étaient entièrement et entièrement possédés. Il n'y a pas d'échappatoire. Mais je devrais leur donner le crédit d'avoir des procédures de sécurité assez sensibles.
Les mots de passe en particulier ont été obscurcis en utilisant bcrypt; l'un des algorithmes de hachage à sens unique les plus sécurisés. En particulier, il était agréable de voir qu'ils ne stockaient pas les mots de passe en clair, ou l'algorithme de hachage MD5 presque inutile. Ce que signifie tout ce truc de hachage MD5 [Technologie expliquée] Ce que signifie tout ce truc de hachage MD5 [Explication technologique] complète de MD5, hachage et un petit aperçu des ordinateurs et de la cryptographie. Lire la suite .
La quantité de puissance de calcul nécessaire pour briser un mot de passe bcrypt est immense. Cela signifie que si vous avez utilisé un mot de passe sécurisé et complexe, les chances qu'il soit décrypté sont relativement minces. Mais si vous utilisez un mot de passe commun ou faible, vous devriez vous attendre à ce que votre mot de passe devienne bientôt public.
De toute façon, il vous sera conseillé de changer vos mots de passe sur tous les sites où vous avez utilisé votre mot de passe Ashley Madison et ne plus jamais l'utiliser.
Pensez aux cartes de crédit
Inclus dans le fichier de données étaient des enregistrements de transactions financières datant de 2007. Ceux-ci ont inclus les noms, adresses de rue, courriels, montants payés, mais pas des numéros entiers de carte de crédit. Chacun de ces enregistrements contient un numéro à quatre chiffres qui est en grande partie supposé être soit un code de transaction, soit les quatre derniers numéros de carte de crédit.
Cela en soi n'est pas vraiment un problème. Vous ne pouvez pas faire grand-chose avec les quatre derniers chiffres d'une carte de crédit. Mais certaines entreprises vous permettent de vérifier votre identité avec elle.
Vous vous souvenez peut-être qu'en 2012, lorsque le chroniqueur de Wired, Mat Honan, a vu sa vie numérique complètement éviscérée. Tout de son courrier Apple, à ses comptes Google. Même son Macbook et son iPhone ont été effacés à distance.
Cela a été rendu possible parce qu'Apple permettait aux utilisateurs de s'authentifier uniquement avec l'adresse de facturation et les quatre derniers chiffres d'une carte de crédit enregistrée.
Ce pourrait être un peu paranoïaque. Enfer, j'ai souvent été accusé d'être tel. Mais si je me suis retrouvé coincé dans le hack d'Ashley Madison, j'annulerais immédiatement ma carte et la dissocierais de n'importe lequel de mes comptes en ligne.
Attendez-vous à être puni
Ici, je veux vraiment souligner quelque chose. Si vous avez été pris dans le bidouillage d'Ashley Madison, vous devriez réaliser que des détails privés et intimes sur votre vie et vos préférences sexuelles ont été rendus publics. Ce qui était autrefois personnel est maintenant ouvert au monde entier. C'est juste quelque chose que vous devez gérer.
Il vaut la peine de souligner que lorsque les sites de rencontres ont été piratés dans le passé, les utilisateurs ont été suivis avec vigueur et rigueur, et leurs vies numériques ont été renversées.
Lorsque 4chan denizens a piraté un réseau social chrétien sans nom en 2009, ils ont pu s'enfuir avec des courriels et des mots de passe. Ceux-ci ont ensuite été utilisés pour accéder à des comptes Facebook, où les pirates ont ensuite publié des messages obscènes, racistes ou obscènes pour embarrasser les propriétaires.
Je n'étais pas d'accord avec cela, et je ne serais pas d'accord avec cela maintenant. Cela dit, il ne serait pas surprenant si quelque chose de similaire se produisait cette fois-ci.
Selon CSO Online, environ 14 000 courriels gouvernementaux et militaires américains ont été trouvés dans la décharge. Le quotidien britannique The Telegraph a déclaré qu'il y avait des dizaines de courriels .gov.uk . Si vous étiez l'un d'entre eux, ne soyez pas surpris si vous avez de l'eau chaude avec vos employeurs.
À l'heure actuelle, les chances sont assez élevées qu'il y ait des hacks tabloïd tamisant la décharge, probablement avec l'aide de quelqu'un qui connaît SQL. Ils vont chercher des célébrités et des politiciens. Si vous êtes une personnalité publique et avez utilisé Ashley Madison, vous pouvez vous attendre à être déshonoré publiquement et complètement.
Bien, comme nous l'avons vu récemment avec Gawker Qu'est-ce que dans le monde est Up With Gawker? Qu'est-ce qui se passe dans le monde avec Gawker? Gawker.com, le populaire blog de potins, a cessé de publier quoi que ce soit pendant deux jours suite à la démission de Tommy Craggs et Max Read, suite à la suppression d'un article écrit par Jordan Sargent la semaine dernière. Lire la suite, ce n'est probablement pas une bonne chose.
Tous les médias qui passent en revue frénétiquement la décharge d'Ashley Madison devraient s'arrêter un instant et penser à Gawker.
- Aaron Sankin (@ASankin) 18 août 2015
Comme tous ceux qui ont lu le magnifique livre de Jon Ronson, So You Been You Publicly Shamed (ou, d'ailleurs, vu son dernier discours sur TED) le savent, nous partageons tous une capacité incroyable d'indignation collective et de honte publique.
Commencer à faire des corrections
Si vous étiez sur Ashley Madison, il est sûr de dire que vous êtes probablement dans un peu d'eau chaude à la maison. Ce sont de mauvaises nouvelles pour vous, mais de bonnes nouvelles pour quelques autres personnes:
Le hack Ashley Madison sera vraiment mauvais pour beaucoup de gens. Idéal pour les avocats et les fleuristes de divorce si!
- Matthew Hughes (@matthewhughes) 19 août 2015
Premièrement, vous devriez vous excuser. Si votre autre significatif ne vous parle pas, peut-être lui envoyer une excuse par email L'art de l'excuse: Comment dire désolé avec un email (et le signifier) L'art de l'excuse: Comment dire désolé avec un email (et Signifie-le) Nous gâchons tous, donc demander pardon est une compétence importante à avoir. Les courriels d'excuses ne sont pas faciles. Voici comment vous dites désolé avec un email, tout en restant authentique. Lire la suite . Peut-être que vous pourriez prendre une feuille du livre de Robin Thicke et lui écrire un album entier.
Les fleurs sont un pari sûr, aussi. Vous ne serez probablement pas en mesure de vous offrir le paquet Ashley Madison de 1-800 Flowers, mais vous pouvez toujours envoyer un bouquet et une carte réfléchis depuis votre iPhone Forgot An Event? Envoyer une carte rapide ou un cadeau de votre iPhone Vous avez oublié un événement? Envoyer une carte rapide ou un cadeau à partir de votre iPhone À l'ère du numérique, vous avez bien moins d'excuses pour oublier un événement important - mais quand vous le faites, vous avez aussi beaucoup plus d'options pour le rattraper! Lire la suite .
Si cela ne fonctionne pas et vous devez sortir de la maison pendant quelques jours, consultez ces 10 moteurs de recherche d'hôtel de recherche Les meilleurs moteurs de recherche d'hôtel pour saisir de grandes affaires quand vous voyagez Les meilleurs moteurs de recherche d'hôtel pour attraper de grandes affaires quand Vous voyagez Nous nous sommes assis pour rechercher la meilleure expérience de réservation d'hôtel en ligne. Ceux qui le rendent moins cher, plus facile et plus sûr d'obtenir une pièce. Voici notre top 10 définitif. En savoir plus.
Ça va devenir Messier
Au moment d'écrire ces lignes, la décharge d'Ashley Madison était en ligne depuis environ 12 heures. Il est encore très tôt. Je prédis que dans la semaine à venir, nous verrons beaucoup plus d'embarras public. Beaucoup plus de mariages ont pris fin et les carrières ont été perturbées. Ça va être désordonné, en effet.
Déjà, nous avons vu des sites qui facilitent l'accès aux données divulguées. Il y a ashmadlookup.com, qui confirme simplement si un email était dans la base de données.
Il y a aussi haveibeenpwned.com, qui adopte une approche légèrement différente. Ici, les données ne sont accessibles que pour ceux qui ont vérifié leur adresse e-mail avec eux, en raison de la nature incroyablement sensible des données.
Alors, quel conseil Impact Team a-t-il pour vous?
"Trouvez-vous ici? C'est ALM qui vous a manqué et qui vous a menti. Les poursuivre et réclamer des dommages-intérêts. Puis continuez avec votre vie. Apprenez votre leçon et faites amende honorable. Embarrassant maintenant, mais tu le surmonteras.
Vous ne pouvez pas discuter avec ça. Ashley Madison a systématiquement échoué à protéger ses clients. Je ne doute pas qu'ils se retrouveront devant les tribunaux dans les mois à venir.
À vous
Avez-vous été touché par la brèche d'Ashley Madison? Connaissez-vous quelqu'un qui était? Vous voulez en parler? Déposez-moi un commentaire ci-dessous, et nous discuterons.
Crédits photo: Clés sur le clavier (Intel Free Press), combien de cartes de crédit devrais-je avoir? (Mighty Travels)