[ad_1]

Grands caches de données volées sur un site de triche en ligne AshleyMadison.com ont été publiés en ligne par un individu ou un groupe qui prétend avoir complètement compromis les bases de données d’utilisateurs, les dossiers financiers et d’autres informations exclusives de l’entreprise. La fuite en cours pourrait être très préjudiciable à quelque 37 millions d’utilisateurs du service de connexion, dont le slogan est « La vie est courte. Avoir une affaire. »

Ashley Madison

Les données publiées par le ou les pirates, qui s’identifient comme L’équipe Impact — comprend des données internes sensibles volées Avid Life Media (ALM), la société basée à Toronto qui possède AshleyMadison ainsi que des sites de connexion connexes La vie de couguar et Hommes établis.

Joint par BreachTrace tard dimanche soir, Noel Biderman, directeur général d’ALM a confirmé le piratage et a déclaré que la société « travaillait avec diligence et fébrilité » pour supprimer la propriété intellectuelle d’ALM. En effet, dans le court laps de temps de 30 minutes entre cette brève entrevue et la publication de cette histoire, plusieurs des liens Web de l’équipe Impact ne répondaient plus.

« Nous ne nions pas que cela s’est produit », a déclaré Biderman. « Comme nous ou pas, c’est toujours un acte criminel. »

Outre des extraits de données de compte apparemment échantillonnés au hasard parmi quelque 40 millions d’utilisateurs sur le trio de propriétés d’ALM, les pirates ont divulgué des cartes des serveurs internes de l’entreprise, des informations sur le compte réseau des employés, des données sur les comptes bancaires de l’entreprise et des informations sur les salaires.

Le compromis intervient moins de deux mois après les intrus volé et divulgué des données d’utilisateurs en ligne sur des millions de comptes à partir du site de connexion AdultFriendFinder.

Dans un long manifeste publié à côté des données ALM volées, l’équipe Impact a déclaré qu’elle avait décidé de publier les informations en réponse aux mensonges présumés qu’ALM aurait racontés à ses clients. à propos d’un service qui permet aux membres d’effacer complètement les informations de leur profil moyennant des frais de 19 $.

Selon les pirates, bien que la fonction de « suppression complète » annoncée par Ashley Madison promette « la suppression de l’historique d’utilisation du site et des informations personnellement identifiables du site », les détails d’achat des utilisateurs – y compris le vrai nom et l’adresse – ne sont pas réellement effacés.

« Full Delete a rapporté à ALM 1,7 million de dollars de revenus en 2014. C’est aussi un mensonge complet », a écrit le groupe de piratage. « Les utilisateurs paient presque toujours par carte de crédit ; leurs détails d’achat ne sont pas supprimés comme promis, et incluent le nom et l’adresse réels, qui sont bien sûr les informations les plus importantes que les utilisateurs souhaitent supprimer.

Leurs revendications continuent :

« Avid Life Media a reçu l’instruction de mettre Ashley Madison et Established Men hors ligne de manière permanente sous toutes leurs formes, ou nous publierons tous les dossiers des clients, y compris les profils avec tous les fantasmes sexuels secrets des clients et les transactions par carte de crédit correspondantes, les vrais noms et adresses, et documents et courriels des employés. Les autres sites Web peuvent rester en ligne.

Un extrait du message laissé par l'équipe de l'Impact.

Un extrait du message laissé par l’équipe de l’Impact.

On ne sait pas quelle quantité de données de compte d’utilisateur AshleyMadison a été publiée en ligne. Pour l’instant, il semble que les pirates aient publié un pourcentage relativement faible des données des comptes d’utilisateurs d’AshleyMadison et prévoient d’en publier davantage chaque jour où l’entreprise reste en ligne.

« Dommage pour ces hommes, ils trichent des sales sacs et ne méritent pas une telle discrétion », ont poursuivi les pirates. « Dommage pour ALM, vous avez promis de garder le secret mais vous n’avez rien tenu. Nous avons l’ensemble complet de profils dans nos vidages de base de données, et nous les publierons bientôt si Ashley Madison reste en ligne. Et avec plus de 37 millions de membres, principalement des États-Unis et du Canada, un pourcentage important de la population est sur le point de passer une très mauvaise journée, y compris de nombreuses personnes riches et puissantes.

Le PDG d’ALM, Biderman, a refusé de discuter des détails de l’enquête de la société, qu’il a qualifiée de continue et d’évolution rapide. Mais il a suggéré que l’incident était peut-être l’œuvre de quelqu’un qui, au moins à un moment donné, avait un accès légitime et interne aux réseaux de l’entreprise – peut-être un ancien employé ou sous-traitant.

« Nous sommes aux portes de [confirming] qui, selon nous, est le coupable, et malheureusement, cela a peut-être déclenché cette publication de masse », a déclaré Biderman. « J’ai leur profil sous les yeux, toutes leurs références professionnelles. C’était certainement une personne ici qui n’était pas un employé mais qui avait certainement touché nos services techniques.

Comme pour étayer cette théorie, le message laissé par les assaillants donne une sorte de cri au directeur de la sécurité d’ALM.

« Nos seules excuses s’adressent à Mark Steele (directeur de la sécurité) », lit-on dans le manifeste. « Vous avez fait tout ce que vous pouviez, mais rien de ce que vous auriez pu faire n’aurait pu arrêter cela. »

Plusieurs des documents internes divulgués indiquent qu’ALM était hyper conscient des risques d’une violation de données. Dans un document Microsoft Excel qui servait apparemment de questionnaire aux employés sur les défis et les risques auxquels l’entreprise était confrontée, on demandait aux employés « Dans quel domaine détesteriez-vous voir quelque chose mal tourner? »

Trevor Stokes, directeur de la technologie d’ALM, a mis ses pires craintes sur la table : « La sécurité », a-t-il écrit. « Je détesterais voir nos systèmes piratés et/ou la fuite d’informations personnelles. »

À la suite de la violation d’AdultFriendFinder, beaucoup se sont demandé si AshleyMadison serait la prochaine. Comme le Wall Street Journal l’a noté dans une note de mai 2015 intitulée « Entreprise risquée pour AshleyMadison.com« , avait déclaré la société projets d’introduction en bourse à Londres plus tard cette année dans l’espoir de récolter jusqu’à 200 millions de dollars.

« Compte tenu de la faille chez AdultFriendFinder, les investisseurs devront considérer les attaques de piratage comme un facteur de risque », a écrit le WSJ. « Et compte tenu de la dépendance de son entreprise à la confidentialité, les investisseurs potentiels d’AshleyMadison devraient espérer qu’elle a suffisamment, euh, ceint ses reins. »

Mise à jour, 8 h 58 HE : ALM a publié la déclaration suivante à propos de cette attaque :

« Nous avons récemment été informés d’une tentative d’accès à nos systèmes par une partie non autorisée. Nous avons immédiatement lancé une enquête approfondie faisant appel à des experts en criminalistique de premier plan et à d’autres professionnels de la sécurité pour déterminer l’origine, la nature et l’étendue de cet incident.

« Nous nous excusons pour cette intrusion non provoquée et criminelle dans les informations de nos clients. Le monde des affaires actuel s’est avéré être celui dans lequel les actifs en ligne d’aucune entreprise ne sont à l’abri du cyber-vandalisme, Avid Life Media n’étant que la dernière parmi de nombreuses entreprises à avoir été attaquée, malgré les investissements dans les dernières technologies de confidentialité et de sécurité.

« Nous avons toujours eu à l’esprit la confidentialité des informations de nos clients et avons mis en place des mesures de sécurité strictes, notamment en travaillant avec les principaux fournisseurs informatiques du monde entier. Comme d’autres entreprises en ont fait l’expérience, ces mesures de sécurité n’ont malheureusement pas empêché cette attaque de notre système.

« À l’heure actuelle, nous avons pu sécuriser nos sites et fermer les points d’accès non autorisés. Nous collaborons avec les forces de l’ordre qui enquêtent sur cet acte criminel. Toutes les parties responsables de cet acte de cyber-terrorisme seront tenues pour responsables.

« Avid Life Media a la plus grande confiance dans son entreprise, et avec le soutien d’experts de premier plan en sécurité informatique, dont Joel Eriksson, CTO, Cycura, nous continuerons d’être un leader dans les services que nous fournissons. « J’ai travaillé avec des entreprises de premier plan dans le monde entier pour sécuriser leurs activités. Je suis convaincu que, sur la base du travail que mon entreprise et moi-même accomplissons, Avid Life Media continuera d’être une entreprise solide et sécurisée », a déclaré Eriksson.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *