Ashley Madison网站激情不再:用户数据终遭泄露

Ashley Madison最终还是未能阻止黑客公布该网站的用户个人数据。2015年8月18日,黑客在线公布了近10GB的遭窃数据。现在任何人都可以从黑暗网络下载这些记录,包括:邮箱地址、信用卡交易记录以及3200万Ashley Madison注册用户的个人资料。 让我们回顾整个事件始末:这家偷情网站在7月份遭到黑客入侵。攻击者指责Ashley Madison欺骗消费者,并要求其母公司Avid Life Media立即关闭这家网站。由于ALM的团队拒绝按照黑客要求关闭网站,网络攻击者们(他们自称”Impact Team”)因此公开了ALM客户的隐私。 我们已经解释了ALM和网站会员的愚蠢以及欺骗行为。现在, 每个人都可以看到他们的数据。请记住,网站精心伪造了数千份女性个人资料。我们将对Ashley Madison伪造用户资料的行为提起法律诉讼;男性用户的真实比例占到了90-95%。即使你的丈夫(男朋友)注册了世界上最大的偷情网站,讽刺的是他很可能从未与真正的女性”偷情”过。他只是试图”偷情”,但可能从未成功,如果你认为这两者之间有区别的话。 这些男人实在够倒霉,他们冒着极大的风险偷情但最终什么也没有得到,还泄露了自己的隐私。ALM做得太不厚道,你从未向用户兑现过保护他们个人隐私的承诺… 你看到有趣的统计数据,黑客宣称该偷情网站注册用户的男女比例大约为6:1。那问题来了:这是否意味着许多用户从未通过该网站有过一次成功的”偷情”? 泄露的数据已引起从记者和社会活动家到普通百姓几乎所有人的兴趣。比如,喜欢刨根问底的用户通过对这些数据的深入研究,发现了一些令人好奇的邮箱地址。事实证明,对于偷情的热衷,政府雇员完全不输于普通民众。有些人甚至还在这份清单中找到了托尼•布莱尔(英国前首相)的邮箱。但由于ALM从未验证用户邮箱,因此许多邮箱地址很可能是伪造的。 有些发现可能会产生相当严重的后果—最高可能处以一年的监禁。正如《华盛顿邮报》提到的,在军队中偷情属于犯罪行为,你可以看到有数千名Ashley Madison用户都使用了后缀是.mil的邮箱地址来注册账号。当然,除军人以外的用户也将承受毁灭性的后果。 Ashley Madison对此予以了激烈的回应:本次事件绝非仅仅是黑客入侵行为,更是一种犯罪行为。这是针对AshleyMadison.com个人会员以及任何选择在线进行完全合法活动且有着自由思想的人的一种违法行为。 公司承诺”不会坐以待毙”并将继续与执法机构展开合作以找到这些网络犯罪分子。与此同时,受害用户应检查自己的邮箱地址是否出现在了外泄记录中,尽力缓和事件所带来不良后果的同时,还应进一步深思—这么做到底值不值得?

Ashley Madison最终还是未能阻止黑客公布该网站的用户个人数据。2015年8月18日,黑客在线公布了近10GB的遭窃数据。现在任何人都可以从黑暗网络下载这些记录,包括:邮箱地址、信用卡交易记录以及3200万Ashley Madison注册用户的个人资料。

让我们回顾整个事件始末:这家偷情网站在7月份遭到黑客入侵。攻击者指责Ashley Madison欺骗消费者,并要求其母公司Avid Life Media立即关闭这家网站。由于ALM的团队拒绝按照黑客要求关闭网站,网络攻击者们(他们自称”Impact Team”)因此公开了ALM客户的隐私。

我们已经解释了ALM和网站会员的愚蠢以及欺骗行为。现在, 每个人都可以看到他们的数据。请记住,网站精心伪造了数千份女性个人资料。我们将对Ashley Madison伪造用户资料的行为提起法律诉讼;男性用户的真实比例占到了90-95%。即使你的丈夫(男朋友)注册了世界上最大的偷情网站,讽刺的是他很可能从未与真正的女性”偷情”过。他只是试图”偷情”,但可能从未成功,如果你认为这两者之间有区别的话。

这些男人实在够倒霉,他们冒着极大的风险偷情但最终什么也没有得到,还泄露了自己的隐私。ALM做得太不厚道,你从未向用户兑现过保护他们个人隐私的承诺

你看到有趣的统计数据,黑客宣称该偷情网站注册用户的男女比例大约为6:1。那问题来了:这是否意味着许多用户从未通过该网站有过一次成功的”偷情”?

泄露的数据已引起从记者和社会活动家到普通百姓几乎所有人的兴趣。比如,喜欢刨根问底的用户通过对这些数据的深入研究,发现了一些令人好奇的邮箱地址。事实证明,对于偷情的热衷,政府雇员完全不输于普通民众。有些人甚至还在这份清单中找到了托尼•布莱尔(英国前首相)的邮箱。但由于ALM从未验证用户邮箱,因此许多邮箱地址很可能是伪造的。

有些发现可能会产生相当严重的后果—最高可能处以一年的监禁。正如《华盛顿邮报》提到的,在军队中偷情属于犯罪行为,你可以看到有数千名Ashley Madison用户都使用了后缀是.mil的邮箱地址来注册账号。当然,除军人以外的用户也将承受毁灭性的后果。

Ashley Madison对此予以了激烈的回应:本次事件绝非仅仅是黑客入侵行为,更是一种犯罪行为。这是针对AshleyMadison.com个人会员以及任何选择在线进行完全合法活动且有着自由思想的人的一种违法行为。

公司承诺”不会坐以待毙”并将继续与执法机构展开合作以找到这些网络犯罪分子。与此同时,受害用户应检查自己的邮箱地址是否出现在了外泄记录中,尽力缓和事件所带来不良后果的同时,还应进一步深思—这么做到底值不值得?

黑客入侵化工厂

物理网络安全研究专家Marina Krotofil和Jason Larsen在黑猫大会和DEF CON大会上均展示了他们对如何黑客入侵化工厂的研究–内容着实引人入胜。 黑客入侵化工厂并非是天方夜谭。既然黑客已能成功入侵浓缩铀设施、智能阻击枪或同时入侵数千辆Jeep汽车,那黑客入侵化工厂又有何不可能呢。世界上现在已经没有什么东西不可以入侵的,难道说化工厂就能成为例外吗? 而真正有趣的是:在Krotofil的展示中,她深入地探讨了黑客在成功掌控化工厂的计算机网络后,可以做的以及应该做的事情。这里引出了该项究的第一个结论:黑客入侵导致的后果并不一定是明显的。 黑客可以对已遭入侵和控制的化工厂进行多种方式的漏洞利用。其中只有一种真正容易被发现:就是黑客让工厂的正常生产陷入瘫痪,其后果显而易见。 而更巧妙的入侵方法是:小心翼翼地对化工工艺进行调整,进而让目标工厂利润降低的同时失去市场竞争力。例如,黑客可以通过微调化工工艺来降低产品质量和/或等级。对于化学品而言,最重要的参数无疑是化学纯度。 例如,纯度98%的对乙酰氨基酚成本仅为1欧元/公斤(约合1.11美元)。而纯度达到100%的对乙酰氨基酚,其成本竟高达8000欧元/公斤。显然,黑客完全可以将降低化学品纯度作为首要攻击目标,进而从目标工厂老板的竞争对手那儿获得”丰厚报酬”。 来自Positive Hack Days安全竞赛的”漏洞化工处理框架”工具 而针对物理网络系统的黑客入侵而言,想要进行漏洞利用并非易事,这正是该项研究的第二个结论。由于整个化工厂相当复杂,因此里面的许多物理和化工工艺相互依赖。就算你在这里更改了某个工艺,在其它地方也能产生同样的工艺过程。因此,要想达到自己的目的,你必须了解其中所有工艺的相互关系。 首先,你需要一名化工人员,确切地说是一名化工专家。其次,你需要建造自己的”化工厂”并进行实验。顺便提一下,在Stuxnet作者开发这一著名病毒的过程中,使用了几台真正的铀浓缩离心机。 如果你无法建造”化工厂”,那就需要创建一个软件模型然后在里面进行虚拟实验。此外,你还要明确到底要哪些设备和软件需要处理。令人意想不到的是,想要黑客入侵化工厂,网络黑客最倚靠的工具竟然是互联网,特定情况下还要用到社交网络:化工厂员工通常都会将一些与工作相关的内容发布上去。而他们发布最多的就是包含有用信息的真实屏幕截图。 就算你有真正的化工专家为你工作,并获取了所有必要信息和软件模型,这还是无法确保你一定能控制你想要的化工工艺。问题的关键在于化工厂在设计时考虑了网络安全性;例如,物理网络系统相比纯计算机系统而言,无法使用通用断工具。 这也是为什么你必须借助间接数据对参数进行调整。例如,你无法测量产品本身的纯度,因为工厂根本不需要这样的嵌入式工具,他们通常在产品生产出来以后进行测量。你需要借助温度或压力来估计纯度。因此,黑客入侵化工厂的难度并没有被高估。当然,如果你时间充裕且拥有丰富资源的话,没有什么是做不到的。 简单地说,一方面,黑客入侵复杂的物理网络系统的确很难。另一方面,一切皆有可能。而一旦化工厂不幸遭黑客入侵,其内部的复杂程度对于安全防护恰恰起到了相反的作用—化工厂因此而难以检测到恶意行为。 正如Kim Zetter在《Countdown to Zero Day》一书中谈到Stuxnet时所说的,设计这一蠕虫病毒的真正目的并非是为了破坏铀浓缩离心机,而是降低核燃料的’质量’。如果某个神通广大的人能有足够耐心而且不追求短时效果的话,恶意软件将难以被发现。

提示
注册