FYI.

This story is over 5 years old.

Tech

Hacker haben Daten von 37 Mio. Nutzern einer Fremdgeh-Website veröffentlicht

In der Datenbank befinden sich offenbar auch 15.000 E-Mailadressen mit .mil und .gov-Endung.
Foto: Imago/Rüdiger Wölk

Wie vor einem Monat angedroht (wir berichteten), haben die Hacker, die in die Server der Fremdgeh-Plattform Ashley Madison eingedrungen sind, offensichtlich nun 37 Millionen kopierte Nutzerdaten online gepostet.

Sicherheitsexperte Brian Krebs bestätigte den riesigen Leak der Daten und hat mit drei Quellen gesprochen, die jeweils unabhängig voneinander bestätigt hätten, ihre persönlichen Daten wie die letzten vier Stellen ihrer Kreditkartennummer, sogar ihre GPS-Koordinaten bei der Anmeldung und kompletten Adressen in dem Haufen wiedergefunden zu haben. Die Kreditkartennummern beziehen sich auf Transaktionen, die seit 2007 über die Website abgewickelt wurden.

Anzeige

Selbst komprimiert ist der Datenberg fast 10 GB gross — er wurde ursprünglich als Torrent (vermutlich über ein VPN-Netzwerk oder einen Computer des Botnets der Hacker, mit dem sie ihre Identität schützen) auf einer .onion-Seite im Darkweb gepostet.

„Avid Media hat es nicht fertiggebracht, Ashley Madison und Established Men offline zu nehmen", schrieben die Hacker in einem Statement zum Datenleak im Deepweb. „Den Betrug, die Abzocke und die Dummheit ALMs und ihrer Mitglieder haben wir ja schon erläutert. Nun wird jeder ihre Daten sehen können."

Bild: Screenshot der Leaking-Website

Momentan durchkämmen fleißige Menschen auf reddit und 4Chan bereits Millionen von Nutzernamen—ein User fand einen Haufen e-Mail-Adressen, die offenbar zu Mitgliedern der britischen Regierung gehören; sowie 15.000 Adressen mit einer .gov oder .mil-Endung, die auf die Mitgliedschaft in der Army und in der US-Regierung schließen lassen. Noch ist allerdings nicht klar, ob es sich dabei nur um Fake-Profile handelt (Tony Blaiur wäre schön blöd, sich mit seiner Regierungsadresse bei einem Seitensprungportal anzumelden).Die Plattform richtet sich explizit an Menschen, die in einer festen Beziehung sind und eine Affäre suchen.

Sicherheitsforscher Graham Cluley hat sich den Dump auch schon einmal angeschaut und folgende Feststellungen auf den ersten Blick festgehalten:

  • EIn Geschlechterverhältnis von 5 Millionen angemeldeten Frauen gegenüber 28 Millionen Männern
  • Ausschließlich männliche Namen in den Kreditkarten-Transaktionsabrechnungen (Heißt das nun, Männer melden sich als Frauen an, um ihre Kollegen auszuspionieren oder, Frauen gehen mit den Kreditkarten ihrer Männer fremd?)
  • Größen- und Gewichtsangaben im Profil, Adressen, und per bcrypt gehashte Passwörter

Anzeige

Allerdings warnen die Hacker vom für den Leak verantwortlichen „Imapct Team" auch vor übereilten Verurteilungen:

„Hast du jemanden gefunden, den du kennst? (…) Könnte gut sein, dass sich dein Mann bei der weltweit größten Fremdgeh-Website angemeldet hat, aber nie eine Affäre hatte. Falls das einen Unterschied macht. (…) Wenn du dich selbst hier wiedergefunden hast, verklag ALM, weil sie dich angelogen haben. Lern deine Lektion. Es ist peinlich, aber du wirst drüber hinwegkommen."

Für monetär motivierte Beziehungen: Mit der Berliner App Ohlala können sich Frauen für alles bezahlen lassen

Die vermeintliche Lüge, die die Hacker anprangern, bezieht sich auf das teure „Full Delete"-Paket, dass Ashley Madison seinen Nutzern verkaufte, die alle personalisierten Daten von der Plattform löschen lassen wollten. Das Impact Team schrieb im Juli, ihre Motivation für den Hack sei die mangelhafte Umsetzung dieser Funktion gewesen—die Nutzer zahlten, doch ihre Daten blieben trotzdem gepeichtert.

Sollte jemand von euch unter den Enttarnten sein, kann die Datenbank beispielsweise mit MatLab durchsucht werden, sobald der Dump entpackt ist. Aber Vorsicht—es kursieren mittlerweile auch schon sehr viele gefälschte Datenberge, die keine brauchbaren Angaben enthalten.

Auch Avid Media hat heute ein Statement veröffentlicht, in dem es heißt: „Das ist kein Hacktivismus, sondern ein Verbrechen. Die Kriminellen haben sich zum moralischen Richter und Henker aufgeschwungen und denken, sie könnten ihre persönliche Vorstellung von Tugend der gesamte Gesellschaft aufzwingen."

Offenbar wurde der Leak durch jemanden ermöglicht, der zu einem früheren Zeitpunkt legitimen Zugang zur Datenbank von Ashley Madison hatte. Die nächsten Tage dürften für viele Leute sehr spannend werden. Kostenlose Torrent-Clients gibt es ja zur Genüge im Internet.