Bild: imago
In der vergangenen Woche haben wir und andere internationale Medien über den Hack der Fremdgeh-Website Ashley Madison und ihrer Mutterfirma Avid Life Media berichtet, von dem mehrere Dutzend Millionen User betroffen waren und im Zuge dessen auch der angebliche angebliche Quellcode der Seite ins Darknet gestellt wurde.Die Hacker hinter dem Datenleck, die sich selbst Impact Team nennen, hatten zunächst kleinere Ausschnitte der Daten im Juli veröffentlicht. Nach beinahe 30 Tagen veröffentlichten sie 10 GB Kundeninformationen, und kurze Zeit später 20 GB interner Daten. Vorgestern posteten die Hacker dann noch einen dritten Datenberg.MOTHERBOARD: Wie habt ihr Avid Life Media gehackt? War es schwer?
The Impact Team: Wir haben hart an daran gearbeitet, einen Angriff durchzuführen, den man nicht bemerken kann. Dann hatten wir Zugriff [auf die Daten] und es gab überhaupt nichts, das man hätte umgehen müsste.Wie war denn ihre Sicherheit so?Ganz schlecht. Niemand beobachtete irgendetwas. Keine Sicherheitsvorkehrungen. Das einzige war ein segmentiertes Netzwerk. Du konntest Pass1234 vom Internet bis hin zum VPN benutzen, um root auf allen Servern zu bekommen.Wann habt ihr mit dem Hack begonnen? Schon vor Jahren?
Vor langer Zeit [Anmerkung: In einer Readme-Datei auf dem ersten Datendump schreiben die Hacker, dass sie die Informationen von der Firma „in den letzten paar Jahren gesammelt haben"].
Welche anderen Daten von Avid Life Media habt ihr noch?
300 GB an Mitarbeiter-Mails und Dokumenten aus dem internen Netzwerk. Zehntausende Bilder von Ashley-Madison-Nutzern. Ein paar Nutzerchats und Nachrichten. Ein Drittel der Bilder sind Penisbilder, die wir nicht online stellen werden. Die meisten Mitarbeitermails stellen wir auch nicht online. Die von der Führungsebene vielleicht schon. Wieso habt ihr den Dump in großen Brocken veröffentlicht statt Stück für Stück?
Ist unser Eng[l]isch so schlecht? Das war von vornherein der Plan. Unsere erste Veröffentlichung hatte einen Beispieldump von 2700 Transaktionen. Vom 21.03.2008 bis 28.06.2015—einer pro Tag. Als nächstes kam dann alles. So war es einfacher.Was haltet ihr von der Reaktion von Avid Life Media und der des CEO Noel Biderman?Die machen 100.000.000 US-Dollar im Jahr mit Betrug. Wir sind nicht sehr überrascht, dass die Seite nicht geschlossen wurde. Vielleicht können Anwälte sie nun schließen. Die klingen wie Politiker, können nicht aufhören, zu lügen. Sie haben gesagt, dass sie keine Kreditkarteninformation speichern. Klar, und die E-Mails speichern sie natürlich auch nicht, sie loggen sich ja nur jeden Tag auf den Server ein und lesen sie. Sie hatten einen Passwort-zu-Kreditkarte-Prozessor. Wir haben von diesem Prozessor veröffentlicht. [Update: Auf unsere Bitte um Klarstellung, schickte das Impact Team dann Folgendes:] Sie nutzen Zahlungsabwickler. Diese speichern die Kreditkartennummern und die Rechnungsadresse. So wie Gmail ihre E-Mail speichert. Sie können sich einloggen und Transaktionen nachgucken. Was war eure Motivation?
Wir waren bei Avid Media lang genug, um alle Vorgänge zu verstehen und zu begreifen. Am Ende haben wir beobachtet, wie die Ashely Madison-Anmeldungen in die Höhe schossen, und mit ihm der Menschenhandel. Alle sagen: „37 Millionen! Nutzererpressung!" Wir haben die Nutzer nicht erpresst. Avid Life Media hat sie erpresst. Aber jedes Hacking Team hätte das gekonnt. Wir haben das getan, um die nächsten 60 Millionen aufzuhalten. Avid Life Media ist wie ein Drogendealer, der Süchtige missbraucht. Gibt es Beweise in den Dumps, dass die „Full Delete"-Funktion nicht funktioniert?
Ja. Da drin sind viele Accounts und Identitäten.Wie erfahren sind die Hacker aus dem Impact Team?
Sehr erfahren. Wird The Impact Team irgendwelche anderen Seiten in naher Zukunft hacken? Falls ja, welche Ziele oder welche Art von Zielen habt ihr im Visier?
Nicht nur Websites, sondern jede Firma, die hunderte Millionen von Euro einfährt und damit vom Schmerz, den Geheimnissen und den Lügen anderer profitiert. Vielleicht korrupte Politiker. Wenn wir etwas machen, dann wird es lange dauern, dafür aber ein Totalschlag werden.
Anzeige
Mittlerweile ist klar, dass die Veröffentlichung der Daten schwerwiegende Folgen auch für Unbeteiligte hat: Laut der kanadischen Polizei haben sich zwei Nutzer von Ashley Madison das Leben genommen, nachdem ihre Daten online gestellt wurden. Auch über 300.000 eMail-Adressen mit deutscher Endung sollen unter den veröffentlichten Kundendaten sein, außerdem eMailadressen aus dem Vatikan und solche mit Endungen, die auf eine Zugehörigkeit zum Militär schließen lassen. Diese Brisanz lädt Kriminelle ein, sich an dem Leck zu bereichern—mittlerweile sind Dutzende Websites aufgetaucht, die einen Abgleich der Daten nach vorheriger (natürlich kostenpflichtiger) Anmeldung bieten. Währenddessen versuchen Ermittler, Darknet-User für ihre Jagd nach den Hackern einzuspannen und haben ein Kopfgeld auf die Verantwortlichen ausgesetzt.Motherboard hat von einem Mittelsmann eine Kontaktadresse zum Impact Team bekommen. Nachdem wir die Hacker anschrieben, antworteten sie mit einer Nachricht, die mit demselben PGP-Schlüssel abgezeichnet war, der auch unter dem Ashley Madison-Dump zu finden war.„Wir haben jede Firma im Visier, die hunderte Millionen von Euro einfährt und damit vom Schmerz, den Geheimnissen und den Lügen anderer profitiert."
Das Impact Team wollte unsere Fragen ausschließlich per e-Mail beantworten. Im Folgenden lest ihr also ein kurzes Frage-Antwort-Interview mit ihnen. Die Antworten zu Gunsten eines besseren Verständnis und einer besseren Lesbarkeit leicht redigiert.„Wir haben die Nutzer nicht erpresst. Avid Life Media hat sie erpresst."
Anzeige
The Impact Team: Wir haben hart an daran gearbeitet, einen Angriff durchzuführen, den man nicht bemerken kann. Dann hatten wir Zugriff [auf die Daten] und es gab überhaupt nichts, das man hätte umgehen müsste.Wie war denn ihre Sicherheit so?Ganz schlecht. Niemand beobachtete irgendetwas. Keine Sicherheitsvorkehrungen. Das einzige war ein segmentiertes Netzwerk. Du konntest Pass1234 vom Internet bis hin zum VPN benutzen, um root auf allen Servern zu bekommen.Wann habt ihr mit dem Hack begonnen? Schon vor Jahren?
Vor langer Zeit [Anmerkung: In einer Readme-Datei auf dem ersten Datendump schreiben die Hacker, dass sie die Informationen von der Firma „in den letzten paar Jahren gesammelt haben"].
300 GB an Mitarbeiter-Mails und Dokumenten aus dem internen Netzwerk. Zehntausende Bilder von Ashley-Madison-Nutzern. Ein paar Nutzerchats und Nachrichten. Ein Drittel der Bilder sind Penisbilder, die wir nicht online stellen werden. Die meisten Mitarbeitermails stellen wir auch nicht online. Die von der Führungsebene vielleicht schon. Wieso habt ihr den Dump in großen Brocken veröffentlicht statt Stück für Stück?
Ist unser Eng[l]isch so schlecht? Das war von vornherein der Plan. Unsere erste Veröffentlichung hatte einen Beispieldump von 2700 Transaktionen. Vom 21.03.2008 bis 28.06.2015—einer pro Tag. Als nächstes kam dann alles. So war es einfacher.Was haltet ihr von der Reaktion von Avid Life Media und der des CEO Noel Biderman?Die machen 100.000.000 US-Dollar im Jahr mit Betrug. Wir sind nicht sehr überrascht, dass die Seite nicht geschlossen wurde. Vielleicht können Anwälte sie nun schließen. Die klingen wie Politiker, können nicht aufhören, zu lügen. Sie haben gesagt, dass sie keine Kreditkarteninformation speichern. Klar, und die E-Mails speichern sie natürlich auch nicht, sie loggen sich ja nur jeden Tag auf den Server ein und lesen sie. Sie hatten einen Passwort-zu-Kreditkarte-Prozessor. Wir haben von diesem Prozessor veröffentlicht. [Update: Auf unsere Bitte um Klarstellung, schickte das Impact Team dann Folgendes:] Sie nutzen Zahlungsabwickler. Diese speichern die Kreditkartennummern und die Rechnungsadresse. So wie Gmail ihre E-Mail speichert. Sie können sich einloggen und Transaktionen nachgucken. Was war eure Motivation?
Wir waren bei Avid Media lang genug, um alle Vorgänge zu verstehen und zu begreifen. Am Ende haben wir beobachtet, wie die Ashely Madison-Anmeldungen in die Höhe schossen, und mit ihm der Menschenhandel. Alle sagen: „37 Millionen! Nutzererpressung!" Wir haben die Nutzer nicht erpresst. Avid Life Media hat sie erpresst. Aber jedes Hacking Team hätte das gekonnt. Wir haben das getan, um die nächsten 60 Millionen aufzuhalten. Avid Life Media ist wie ein Drogendealer, der Süchtige missbraucht. Gibt es Beweise in den Dumps, dass die „Full Delete"-Funktion nicht funktioniert?
Ja. Da drin sind viele Accounts und Identitäten.Wie erfahren sind die Hacker aus dem Impact Team?
Sehr erfahren. Wird The Impact Team irgendwelche anderen Seiten in naher Zukunft hacken? Falls ja, welche Ziele oder welche Art von Zielen habt ihr im Visier?
Nicht nur Websites, sondern jede Firma, die hunderte Millionen von Euro einfährt und damit vom Schmerz, den Geheimnissen und den Lügen anderer profitiert. Vielleicht korrupte Politiker. Wenn wir etwas machen, dann wird es lange dauern, dafür aber ein Totalschlag werden.