Esta es la palabra alemana que amo: Schadenfreude. Es una de esas palabras raras que realmente no tiene una traducción directa al inglés, pero más o menos significa disfrutar de la desgracia de los demás. Básicamente describe cómo me siento sobre lo que le ha estado sucediendo a Ashley Madison recientemente.
Ashley Madison, para aquellos que no lo saben, es un sitio de citas que se enfoca en facilitar los asuntos extramatrimoniales. Se puede considerar como el Facebook de las mujeres, con más de 37 millones de usuarios registrados y adúlteros. Como suele ser el caso con los sitios web de citas, la abrumadora mayoría de sus suscriptores (entre 90 y 95 por ciento) eran hombres.
Aquí es donde entra en juego la schadenfreude. Recientemente fueron impactados por Impact Team, una banda desconocida de piratas informáticos, que amenazaron con filtrar toda su base de datos a menos que el sitio web fraudulento (y los sitios complementarios Establecido Men y Cougar Life) se cerraran.
Avid Life Media, propietaria de Ashley Madison, se negó a cumplir. A principios de esta mañana, 9GB de datos del sitio fueron volcados en un sitio web de Darknet de Tor. Contenía todo . No solo nombres de usuario y correos electrónicos, sino también correos electrónicos internos, documentos corporativos, preferencias sexuales, datos biográficos e incluso ubicaciones de GPS. Ouch .
Pasando por un vertedero ... Esto no fue un hack de base de datos. Este fue el conflicto a gran escala de toda la compañía. Hashes de dominio, documentos internos en abundancia.
- Dave Kennedy (ReL1K) (@HackingDave) 19 de agosto de 2015
Si estuviste atrapado en la fuga de Ashley Madison, permíteme expresarte un haw sincero y parecido a Nelson Muntz. Debo admitir que no soy muy comprensivo. Pero aún así, como escritor de seguridad me siento obligado a contarte algunas cosas.
Cambia tus contraseñas
Ashley Madison fue absoluta y completamente de su propiedad. No hay escapatoria. Pero debería darles crédito por tener algunos procedimientos de seguridad bastante razonables.
Las contraseñas en particular fueron ofuscadas usando bcrypt; uno de los algoritmos hash más seguros y de una sola dirección. En particular, fue agradable ver que no estaban almacenando contraseñas en texto sin formato, o el casi inútil algoritmo de hash MD5. Qué significa todo esto MD5 Hash Stuff [Explicación de la tecnología] Qué significa todo esto MD5 Hash Stuff [Tecnología explicada] Aquí hay una completo agotamiento de MD5, hash y una pequeña descripción general de las computadoras y la criptografía. Lee mas .
La cantidad de potencia computacional pura requerida para romper una contraseña de brypt es inmensa. Eso significa que si usó una contraseña segura y compleja, las probabilidades de que se descifre son relativamente escasas. Pero si usa una contraseña común o débil, debe esperar que su contraseña se convierta pronto en conocimiento público.
De cualquier manera, se le aconsejará que cambie sus contraseñas en cualquier sitio donde haya utilizado su contraseña de Ashley Madison y nunca más la vuelva a utilizar.
Piensa en las tarjetas de crédito
En el volcado de datos se incluyeron registros de transacciones financieras que datan de 2007. Estos incluyen nombres, direcciones, correos electrónicos, montos pagados, pero no números completos de tarjetas de crédito. Cada uno de estos registros contiene un número de cuatro dígitos que se supone que es un código de transacción o los últimos cuatro números de tarjeta de crédito.
Esto en sí mismo no es un gran problema. No hay mucho que pueda hacer con los últimos cuatro dígitos de una tarjeta de crédito. Pero algunas compañías te permiten verificar tu identidad con él.
Es posible que recuerde en 2012 cuando el columnista de Wired Mat Honan tuvo su vida digital completa eviscerada. Todo, desde su correo de Apple, hasta sus cuentas de Google. Incluso su Macbook y su iPhone fueron borrados remotamente.
Esto fue posible porque Apple permitió a las personas autenticarse solo con la dirección de facturación y los últimos cuatro dígitos de una tarjeta de crédito registrada.
Puede ser un poco paranoico. Demonios, a menudo me han acusado de ser así. Pero si me atraparon en el truco de Ashley Madison, cancelaría inmediatamente mi tarjeta y la desvincularía de cualquiera de mis cuentas en línea.
Esperar ser castigado
Aquí, realmente quiero enfatizar algo. Si te atraparon en el hack de Ashley Madison, deberías darte cuenta de que los detalles íntimos y privados sobre tu vida y tus preferencias sexuales se han hecho públicos. Lo que una vez fue personal ahora está abierto para que el mundo lo vea. Eso es algo con lo que tienes que lidiar.
Vale la pena señalar que cuando los sitios web de citas han sido pirateados en el pasado, a continuación, dio lugar a los usuarios que se trollen vigorosamente y a fondo, y sus vidas digitales se vuelque al revés.
Cuando 4chan denizens piratearon una red social cristiana sin nombre en 2009, pudieron arreglárselas con correos electrónicos y contraseñas. Estos fueron utilizados para obtener acceso a las cuentas de Facebook, donde los hackers luego publicaron mensajes obscenos, racistas o lascivos para avergonzar a los propietarios.
No estaba de acuerdo con eso entonces, y no estaría de acuerdo con eso ahora. Dicho eso, no sería una sorpresa remota si sucediera algo similar esta vez.
Según CSO Online, se encontraron cerca de 14, 000 correos electrónicos gubernamentales y militares de los EE. UU. En el basurero. El diario británico The Telegraph dijo que había decenas de correos electrónicos de .gov.uk . Si usted fuera uno de ellos, no se sorprenda si obtiene agua caliente con sus empleadores.
Por ahora, las probabilidades son bastante altas de que haya algunos hackers de tabloide examinando el vertedero filtrado, probablemente con la ayuda de alguien que sepa SQL. Buscarán celebridades y políticos. Si usted es una figura pública y usó Ashley Madison, casi puede esperar ser completamente deshonrado públicamente.
Aunque, como vimos recientemente con Gawker, What in the World está con Gawker? ¿Qué demonios está pasando con Gawker? Gawker.com, el popular blog de chismes, dejó de publicar cualquier cosa durante dos días después de la renuncia de Tommy Craggs y Max Read, sobre la eliminación de un artículo escrito por Jordan Sargent la semana pasada. Leer más, eso probablemente no sea algo bueno.
Todos los medios que penetren frenéticamente en el vertedero de Ashley Madison deberían detenerse un momento y pensar en Gawker.
- Aaron Sankin (@ASankin) 18 de agosto de 2015
Como sabe cualquiera que haya leído el libro de Jon Ronson So You've Been Public Shamed (o, de hecho, haya visto su última charla de TED), todos compartimos una increíble capacidad de indignación colectiva y vergüenza pública.
Comience a enmendar
Si estuvo en Ashley Madison, es seguro decir que probablemente esté en un poco de agua caliente en casa. Esas son malas noticias para ti, pero son buenas noticias para algunas otras personas:
El truco de Ashley Madison será realmente malo para mucha gente. ¡Ideal para abogados de divorcios y floristas!
- Matthew Hughes (@matthewhughes) 19 de agosto de 2015
En primer lugar, debes disculparte. Si su pareja no está hablando con usted, tal vez envíele una disculpa por correo electrónico El arte de la disculpa: Cómo decirlo Lo siento con un correo electrónico (y lo digo en serio) El arte de la disculpa: Cómo decirlo Lo siento con un correo electrónico (Y Lo digo en serio) Todos cometemos errores, por lo que pedir perdón es una habilidad importante que debemos tener. Los correos electrónicos de disculpa no son fáciles. Así es como dices lo siento con un correo electrónico, sin dejar de ser genuino. Lee mas . Tal vez podrías tomar una hoja del libro de Robin Thicke y escribirle un álbum completo.
Las flores son una apuesta segura, también. Probablemente no podrá pagar el paquete Ashley Madison de 1-800 Flowers, pero aún puede enviar un ramo y tarjeta de su iPhone Forgot an Event? Enviar una tarjeta rápida o un regalo de su iPhone ¿Olvidó un evento? Envíe una tarjeta rápida o un regalo de su iPhone En la era digital, tiene muchas menos excusas para olvidar un evento importante, pero cuando lo hace, ¡también tiene muchas más opciones para compensarlo! Lee mas .
Si eso no funciona y tiene que mudarse de la casa por unos días, revise estos 10 motores de búsqueda de hoteles Los mejores motores de búsqueda de hoteles para obtener excelentes ofertas cuando viaje Los mejores motores de búsqueda de hoteles para obtener grandes ofertas cuando Usted viaja Nos sentamos a buscar la mejor experiencia de reserva de hotel en línea. Los que están haciendo que sea más barato, más fácil y más seguro obtener una habitación. Aquí están nuestros top 10 definitivos. Leer más.
Se va a poner más Messier
En el momento de escribir, el vertedero de Ashley Madison ha estado en línea durante aproximadamente 12 horas. Todavía es muy temprano. Predigo que en la próxima semana veremos mucha más vergüenza pública. Muchos más matrimonios terminaron y las carreras se interrumpieron. Va a ser complicado, de hecho.
Ya hemos visto sitios que facilitan el acceso a los datos filtrados. Hay ashmadlookup.com, que simplemente confirma si un correo electrónico estaba en la base de datos.
También hay haveibeenpwned.com, que tienen un enfoque ligeramente diferente. Aquí, los datos solo son accesibles para aquellos que han verificado su dirección de correo electrónico con ellos, debido a la naturaleza increíblemente sensible de los datos.
Entonces, ¿qué consejo tiene el Impact Team para ti?
"¿Encontrarse aquí? Fue ALM quien te falló y te mintió. Enjuiciarlos y reclamar daños y perjuicios. Entonces sigue con tu vida. Aprende tu lección y haz las paces. Es embarazoso ahora, pero lo superarás ".
No puedes discutir con eso. Ashley Madison falló sistemáticamente en proteger a sus clientes. No dudo que se encontrarán en la corte en los próximos meses.
A ti
¿Te afectó la infracción de Ashley Madison? ¿Conoces a alguien que fue? ¿Quieres hablar de eso? Envíame un comentario a continuación, y chatearemos.
Créditos de las fotos: Teclas en el teclado (Intel Free Press), ¿Cuántas tarjetas de crédito debería tener? (Mighty Travels)