De aanvallers die vorige maand bij de website Ashley Madison wisten in te breken en daar de gegevens van miljoenen gebruikers buitmaakten hebben de data nu online gezet. Het gaat om accountgegevens en inloggegevens van zo'n 32 miljoen gebruikers van de website voor vreemdgangers, zo meldt Wired.
Daarnaast is ook een overzicht van zeven jaar aan creditcard- en betaaltransacties gepubliceerd. Deze gegevens bestaan uit miljoenen betaaltransacties, waaronder namen, adresgegevens, e-mailadressen en betaalde bedragen. Ook de laatste vier cijfers van de creditcard stonden vermeld. De gestolen gegevens worden nu via Tor-websites en Torrent-bestanden verspreid. Ook zijn ze via downloadsites als Mega en Rapidshare te downloaden. De aanvallers hadden de data twee dagen geleden al op Reddit gepubliceerd, maar het is nu door de media opgepakt.
De aanvallers die Ashley Madison hackten eisten dat de website, alsmede de website Established Men, offline werden gehaald, anders zouden ze de data openbaar maken. In een verklaring stellen de aanvallers dat Avid Life Media, het bedrijf achter Ashley Madison en Established Men, duizenden valse profielen van vrouwen heeft aangemaakt. De aanvallers noemen de website dan ook een scam. "De kans is groot dat je je voor één van de grootste websites voor affaires hebt aangemeld, maar er nog nooit één hebt gehad." Slachtoffers van de datadiefstal krijgen van de aanvallers het advies om het bedrijf aan te klagen.
In de database zouden zo'n 15.000 e-mailadressen eindigend op .mil en .gov staan. Het gaat in dit geval om adressen die door het Amerikaanse leger en overheid worden gebruikt. In een verklaring stelt Avid Life Media dat het hier niet om hacktivisme gaat, maar er sprake van een misdrijf is. Inmiddels zou ook de FBI bij het onderzoek betrokken zijn. Volgens het bedrijf zullen de aanvallers uiteindelijk worden gepakt.
Beveiligingsexpert Robert Graham analyseerde de gestolen data en zegt dat het om meer dan 36 miljoen accounts gaat. 28 miljoen accounts zijn van mannen, terwijl 5 miljoen vrouwen zich voor de website hadden aangemeld. De overige accounts konden niet worden vastgesteld. Bij het analyseren van de creditcardgegevens kwam Graham alleen mannennamen tegen. Daarnaast zijn er mogelijk 250.000 verwijderde accounts, aangezien hier het wachtwoord van was verwijderd. De accountgegevens bestaan uit volledige naam, e-mailadres en wachtwoordhash, maar ook gegevens zoals lengte en gewicht.
Ook adresgegevens en gps-coordinaten zouden in de datadump van 9,7GB zijn te vinden. "Ik vermoed dat veel mensen een nepprofiel aanmaakten, maar met een app die hun echte gps-coordinaten doorgaf", stelt Graham. De wachtwoorden zijn gehasht met bcrypt. Een sterker algoritme dan het veelgebruikte MD5. Toch verwacht Graham dat hackers erin zullen slagen om vooral veel zwakke wachtwoorden te "kraken". Gebruikers met een sterk wachtwoord zouden echter veilig zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.