Благодаря взлому сайта Ashley Madison, предназначенного для желающих изменить мужу или жене, мы получили уникальную возможность взглянуть на то, как устроен подобный бизнес. В Сеть попали не только личные данные 37 млн. пользователей ресурса, но также исходный код проекта, внутренние документы и переписка сотрудников.
Вообще Ashley Madison — это сайт знакомств, который специализируется на сведении друг с другом людей, которые хотят изменить мужу или жене. Его особенностью является декларируемая анонимность, а также то, что он "сильно платный", причем исключительно для мужчин. Бесплатна там только регистрация, а вот за возможность общаться с другими пользователями — женщинами — надо платить. Платить надо и за удаление своего профайла с ресурса.
С момента взлома ресурса с броским слоганом "Жизнь коротка, заведи интрижку" прошло уже почти два месяца, а данные хакеры, взломавшие ресурс, начали выкладывать в августе. Поэтому у исследователей было более, чем достаточно времени на то, чтобы изучить десятки гигабайтов информации.
Конечно, Ashley Madison — сайт, рассчитанный в первую очередь на США (а владеющая им компания является канадской), однако там были пользователи из Латвии. Их всего около сотни а проверить, есть ли там знакомые люди, можно, введя их адрес электронной почты на этом сайте. Но интересно во всем этом даже не то, кто регистрировался или нет. Интересно, что нашли исследователи, изучив массивы информации.
Из переписки генерального директора оказалось, например, что компания использовала весьма нечистоплотные практики и взломала одного их своих конкурентов, возможно, заполучив контакты его пользователей. В 2013 году она также разработала "интересное" мобильное приложение под названием "Сколько стоит твоя жена", которое, правда, в итоге решено было не выпускать. В Ashley Madison после взлома и анализа информации не постеснялись подать в суд на некоторых исследователей, которые разоблачили их нечистоплотные бизнес-практики.
Чего стоит только тот факт, что компания требовала с пользователей по 20 долларов за факт удаления их профайла, но оказалось, что она на самом деле его не удаляла, а только помечала как удаленный. В итоге в Сеть в числе тех 37 млн. пользователей были выложены и данные тех, кто заплатил за "исчезновение" из базы Ashley Madison.
Вообще для пользователей ресурса тот факт, что их данные оказались в Сети, стал сущим кошмаром, так как быстро нашлись желающие их пошантажировать. Причем схемы шантажа иногда были до смешного примитивными (но довольно действенными).
Специалисты по безопасности и разработчики сайтов найдут захватывающим тот факт, что ресурс использовал MD5-токены для обработки пользовательских сессий — и хакерам за считанные дни удалось взломать 11 млн. паролей. Разумеется, в очередной раз оказалось, что люди просто обожают примитивные пароли — у 125 тыс., например, пароль был "123456" (48 тыс. хитрецов решили, что они самые хитрые и применили "нестандартный" пароль "12345"), а у почти 40 тыс. людей — "password".
Но самым интересным является не это, а то, что у Ashley Madison почти не было настоящих пользователей-женщин.
Как показал анализ Gizmodo, из 5,5 млн. пользователей-женщин настоящих, живых людей было не более 12 тыс. человек. Остальные оказались либо фейковыми аккаунтами, создание которых было поставлено в компании на поток, либо аккаунтами, владелицы которых после регистрации на сайте для измен ни разу на него более не заходили.
Другой анализ показал, что в Ashley Madison не только регистрировали поддельные "женские" аккаунты, но и создали ботов — специальные скрипты, которые от имени этих аккаунтов пытались "общаться" с настоящими мужчинами, раскручивая их приобретение "кредитов". Без кредитов для мужчин на сайте невозможно общение. Стоимость пакетов кредитов варьируется от почти 60 до 290 долларов США.
Кстати, "боты" особым интеллектом не блистали из-за чего несколько пользователей ресурса быстро поняли, что происходит и даже жаловались в надзорные органы США. Последние пытались призвать Ashley Madison к ответу, но у них ничего не вышло. Возможно, выйдет теперь, когда в открытом доступе оказалось все содержимое серверов компании.
В общем и целом, несмотря на то, что женщины Ashley Madison все же пользовались (и у них были на то свои причины), их было очень и очень мало. Поскольку это проблема для любого сайта знакомств, в Ashley Madison активно работали над тем, чтобы создать видимость их присутствия, попутно "раскручивая" мужчин на платные услуги.
Это был сайт, сделанный мужчинами для мужчин и психологию своей целевой аудитории его создатели знали просто идеально.
Разумеется, несправедливо говорить о том, что весь бизнес сайтов знакомств построен по схеме, по которой работал и даже еще работает Ashley Madison — для этого просто нет оснований. Но совершенно очевидно, что мы получили доказательства того, что "и так бывает". Доказательства, напомним, получены из внутренней переписки компании, анализа ее пользователей и даже исходного кода проекта. Более прямых доказательств просто не существует.
Какие выводы должны сделать пользователи таких сайтов? Как защитить себя от подобных неприятностей?
Во-первых, не использовать свои настоящие и всем известные адреса электронной почты на сайтах знакомств. Во-вторых, придумывать уникальные пароли. В-третьих, изучать устройство ресурса перед тем, как им пользоваться. Ведь в случае с Ashley Madison тот факт, что мужчины должны платить за общение, а женщины — нет, это не просто "звоночек", это вой корабельной серены о том, что кто-то кого-то "разводит на деньги".
Жизнь действительно слишком коротка на то, чтобы тратить ее на нервотрепку после того, как ваши данные из интернета станут достоянием всех и каждого. А рано или поздно они станут — это натура интернета.