Ashley Madison 風波持續,CEO Email 顯示侵入對手網站

作者 | 發布日期 2015 年 08 月 26 日 18:28 | 分類 資訊安全 follow us in feedly
Ashley Madison zh-tw

Ashley Madison 資料外漏的風波越演越大,有使用該站的人被威脅甚至自殺。自稱 Impact Team 的駭客宣稱破解 Ashley Madison CEO Noel Biderman。看來有部分郵件已經可以讀取了。有人發現 CEO Biderman 往來的信件中,提及用對手網站的漏洞侵入並成功竊取使用者資料。




2012 年 10 月 30 日,當時 Ashley Madison 的 CTO Raja Bhatia 發現美國兩性雜誌 nerve.com 網站的漏洞,Bhatia 表示他們網站沒做得很好,很容易就取得所有使用者資料。Biderman 一收到信得知對手的漏洞,馬上指示侵入對方系統。

信件的日期從 2012 年 1 月至 2015 年 7 月 7 日,與 Ashley Madison 資料洩漏的時間點 7 月 12 日相比可說是這些資料洩漏的時間點相當近。

另一個有趣的地方是 Ashley Madison 在最近幾個月在加強員工的資安警覺,似乎察覺異狀。在一封 2015 年 5 月 25 日的信件中,CEO Biderman 說:「由於我們開放註冊的緣故,還有最近的高曝光,每個資安顧問和其他家族會嘗試摧殘我們的事業。我們的程式有許多容易找到的 XSS/CRSF 漏洞 (對資安專家來說),也有相當困難的漏洞 (需要釣魚式攻擊)。其他的漏洞像是 SQL injection/data leaks,對我們的損害較大。」

加拿大警方說 Ashley Madison 懸賞 500,000 加拿大幣給提供這次洩漏事件線索的人。由於駭客擅長隱藏其蹤跡,從 Ashley Madison 那邊難以找到線索,不如就看有沒有人願意指認他們是誰。功利高超的駭客往往會太自傲而曝露其行蹤和做過的事情,也許懸賞能夠增加逮到人的機會。

另外這些 email 裡還有異業合作的往來信件,其中一封信有 100 頁左右的劇本附檔,就是 CEO Biderman 跟劇作家合作,打算推出以 Ashley Madison 公司故事啟發的電影。

聲稱要公佈臺灣貪污檔案?

另外有自稱 Impact Team 的人,聲稱要在明年二月公佈臺灣政府官員貪污的資料。比起 Ashely Madison 的聲明,英文程度應是近 native speaker,這次說要公佈臺灣政府貪污資料的聲明,英文程度明顯差太多了,估計是假的。再來是 Ashely Madison 經濟多年,使用者傳遞的鹹濕照片、網站程式碼還有內部文件,加一加也不過 200 GB 大小,臺灣的數位化程度來說,這些所謂貪污檔案有 91 GB,可能高估了。另外也沒有看到每次 Impact Team 現身時,會附上他們的 Hash: SHA1 電子簽名。

關鍵字: ,

發表迴響