[ad_1]

De nombreux sites d’information et blogs rapportent que les données volées le mois dernier à 37 millions d’utilisateurs d’AshleyMadison.com – un site qui facilite la tricherie et les relations extraconjugales – ont finalement été mises en ligne pour que le monde entier les voie. Au cours des dernières 48 heures, plusieurs énormes décharges de données prétendant être la véritable base de données AshleyMadison ont été mises en ligne. Mais ils contiennent peu de détails précieux qui permettraient de vérifier ces affirmations, et la société elle-même dit qu’elle ne voit jusqu’à présent aucune indication que les fichiers sont légitimes.

Mise à jour, 23 h 52 HE : J’ai maintenant parlé avec trois sources certifiées qui ont toutes déclaré avoir trouvé leurs informations et les quatre derniers chiffres de leurs numéros de carte de crédit dans la base de données divulguée. De plus, il me semble que cela fait presque exactement 30 jours depuis le hack d’origine. Enfin, tout de les comptes créés sur Bugmenot.com pour Ashleymadison.com avant la violation d’origine semblent également être dans l’ensemble de données divulgué. Je suis sûr qu’il y a des millions d’utilisateurs d’AshleyMadison qui souhaiteraient que ce ne soit pas le cas, mais tout indique que ce vidage est la vraie affaire.

Histoire originale :

Une énorme mine de données de près de 10 gigaoctets a été déversée sur le Deep Web et sur divers services de partage de fichiers Torrent au cours des dernières 48 heures. Selon une histoire sur Wired.com, inclus dans les fichiers sont les noms, adresses et numéros de téléphone apparemment attachés aux profils des membres d’AshleyMadison, ainsi que les données de carte de crédit et les informations de transaction. Les liens vers les fichiers étaient précédés d’un message de fichier texte intitulé « Time’s Up » (voir capture d’écran ci-dessous).

Le message laissé par les pirates prétendant divulguer la base de données AshleyMadison.com.

Le message laissé par le dernier groupe affirmant avoir divulgué la base de données piratée AshleyMadison.com.

D’avoir pris en compte une grande partie de la couverture médiatique de cette fuite jusqu’à présent – par exemple, de l’article Wired susmentionné ou de l’histoire de site du blogueur sécurité Graham Cluley – les lecteurs concluraient très probablement que cette dernière collection de données divulguées est légitime. Mais après une interview ce soir avec Raja Bhatia – Le premier directeur de la technologie fondateur d’AshleyMadison – Je suis reparti avec une perspective différente.

Bhatia a déclaré qu’il travaillait avec une équipe internationale d’environ une douzaine d’enquêteurs qui travaillaient sept jours sur sept, 24 heures sur 24, juste pour suivre tous les faux vidages de données prétendant être la base de données volée AshleyMadison référencée par le hackers originaux le 19 juillet. Bhatia a déclaré que son équipe ne voyait aucun signe que ce dernier vidage soit légitime.

« Chaque jour, nous voyons 30 à 80 décharges revendiquées différentes apparaître en ligne, et la plupart de ces décharges sont entièrement fausses et utilisées par d’autres organisations pour capter l’attention qui s’est développée grâce à cette version », a déclaré Bhatia. « Au total, nous avons examiné plus de 100 Go de données qui ont été diffusées. Par exemple, je viens de recevoir un SMS de notre équipe d’analyse en Israël disant que le dernier dump qu’ils ont vu était de 15 gigaoctets. Nous continuons à vivre cela, mais pour la plupart, cela semble illégitime et de nombreux fichiers ne sont même pas lisibles. »

L’ancien directeur technique d’AshleyMadison, qui consulte la société depuis que la nouvelle du piratage a été annoncée le mois dernier, a déclaré que bon nombre des faux vidages de données que la société a examinés à ce jour incluent tout ou partie des fichiers de la version originale du 19 juillet. Mais le reste des informations, a-t-il dit, est toujours un mélange de données provenant d’autres sources piratées – pas AshleyMadison.com.

« La quantité écrasante de données publiées au cours des trois dernières semaines est de fausses données », a-t-il déclaré. « Mais nous prenons chaque version au sérieux et examinons chaque élément de données et essayons d’analyser la source et la véracité des données. »

Bhatia a déclaré que le format des fausses fuites avait constamment changé au cours des dernières semaines.

« À l’origine, il était publié via Imgur.com et Pastebin.com, et maintenant nous voyons des fichiers sortir via des torrents, le Dark Web et des URL basées sur TOR », a-t-il déclaré.

Pour aider à localiser de nouveaux trésors de données prétendant être les fichiers volés à AshleyMadison, l’équipe médico-légale de l’entreprise utilise un outil qui Netflix sorti l’année dernière sous le nom de Scumblrqui parcourt les sites de premier plan à la recherche de termes et de données spécifiques.

« Pour la plupart, nous pouvons rapidement vérifier qu’il ne s’agit pas de nos données ou de fausses données, mais nous prenons chaque version au sérieux », a déclaré Bhatia. « Scumbler nous aide à accélérer le temps qu’il nous faut pour détecter les nouvelles données qui sont publiées. Pour la plupart, nous constatons que la majorité est fausse. Il y a certaines choses qui ont des données de la version originale, mais à part ça, ce que nous voyons, ce sont d’autres fichiers génériques qui ont été introduits, de faux fichiers SQL.

Bhatia a déclaré que cette dernière fuite était particulièrement amusante car elle incluait des données de carte de crédit réelles, même si AshleyMadison.com n’a jamais stocké d’informations de carte de crédit.

« Il n’y a certainement pas d’informations sur les cartes de crédit, car nous ne les stockons pas », a déclaré Bhatia. « Nous utilisons des identifiants de transaction, comme tous les autres processeurs marchands conformes à la norme PCI. S’il y a des données de carte de crédit complètes dans un dump, ce n’est pas de nous, parce que nous ne les avons même pas. Lorsque quelqu’un effectue un paiement, ce qui se passe provient de notre processeur de paiement, nous récupérons un identifiant de transaction. C’est la seule information liée à un de nos clients ou consommateurs. Si quelqu’un divulgue des données de carte de crédit, cela ne vient pas de nous. Nous n’avons pas cela dans nos bases de données ou nos propres systèmes.

Une capture d'écran de l'archive publiée récemment que beaucoup pensent être la base de données AshleyMadison divulguée.

Une capture d’écran de l’archive publiée récemment que beaucoup pensent être la base de données AshleyMadison divulguée.

Je dois être clair que je n’ai aucune idée si ce dépotoir est en fait réel; Je ne rapporte que ce que j’ai pu observer jusqu’à présent. J’ai certainement vu beaucoup de gens que je connais sur Twitter dire qu’ils avaient téléchargé les fichiers et trouvé des données d’amis qui avaient reconnu être membres du site.

Presque tous les jours depuis que j’ai rapporté pour la première fois l’histoire exclusive du piratage d’Ashley Madison le 19 juillet, j’ai reçu des e-mails désespérés et tristes de lecteurs qui étaient ou sont des utilisateurs d’AshleyMadison et qui voulaient savoir si les données seraient un jour divulguées, ou si Je pouvais d’une manière ou d’une autre localiser leurs informations dans tous les documents divulgués jusqu’à présent. Malheureusement, mis à part ce que j’ai rapporté ici et dans mon histoire originale du mois dernier, je n’ai aucune connaissance ou idée particulière de cette attaque.

Mon premier rapport sur cette violation citait le PDG d’AshleyMadison Noël Biderman affirmant que l’entreprise soupçonnait que le coupable était probablement quelqu’un qui, à un moment donné, avait un accès légitime aux réseaux internes de l’entreprise. J’étais déjà arrivé à la même conclusion à ce moment-là, et je crois toujours que c’est le cas. J’ai donc demandé à Bhatia si l’entreprise et/ou les forces de l’ordre au Canada ou aux États-Unis avaient appréhendé quelqu’un en relation avec ce piratage.

Bhatia a refusé de répondre, me référant plutôt à la déclaration écrite publiée sur son site aujourd’huiqui a noté que l’enquête est toujours en cours et que l’entreprise coopère pleinement aux enquêtes des forces de l’ordre, notamment par la Gendarmerie royale du Canada, la Police provinciale de l’Ontario, les services de police de Toronto et le Federal Bureau of Investigation des États-Unis.

« Cet événement n’est pas un acte d’hacktivisme, c’est un acte de criminalité. Il s’agit d’une action illégale contre les membres individuels d’AshleyMadison.com, ainsi que contre toute personne libre d’esprit qui choisit de se livrer à des activités en ligne entièrement légales », indique le communiqué. « Nous savons qu’il y a des gens qui connaissent une ou plusieurs de ces personnes, et nous les invitons à se manifester. Bien que nous soyons convaincus que les autorités identifieront et poursuivront chacun d’entre eux dans toute la mesure permise par la loi, nous savons également qu’il existe des personnes qui peuvent aider à accélérer cela.

Les lecteurs doivent comprendre que si ce vidage s’avère légitime, le simple fait de trouver le nom, l’adresse e-mail et d’autres données de quelqu’un dans les archives ne signifie pas que cette personne était un véritable utilisateur. Comme le souligne Graham Cluley mentionné ci-dessus, AshleyMadison n’a jamais pris la peine de vérifier les adresses e-mail qui lui sont fournies par ses utilisateurs.

« Donc, j’aurais pu créer un compte chez Ashley Madison avec l’adresse [email protected], mais cela n’aurait pas signifié qu’Obama était un utilisateur du site », a écrit Cluley. « Les journalistes et les commentateurs seraient avisés de se rappeler que les informations d’identification stockées par Ashley Madison doivent être considérées comme suspectes en raison de leurs pratiques shonky, même avant de vous commencez à vous demander si les bases de données divulguées sont falsifiées ou non.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *