Auswirkung aufs Karma: Ashley Madison

22 Jul 2016

Vor einem Jahr hatte eine massive Sicherheitsschwachstelle tiefgreifende Auswirkungen auf das Leben der bei Ashley Madison registrierten Nutzer, einer „Dating“-Seite für verheiratete Personen, und zerstörte beinahe ein florierendes, jedoch kontroverses Geschäft.

Ashley Madison users are still target for cybercroocks

Die Ashley-Madison-Hacker, die sich selbst „das Impact Team“ nannten, enthüllten mehr als 37 Millionen Datensätze von Nutzern aus 40 Ländern, sowie den Quelltext der Webseite und interne Firmenkorrespondenz der Unternehmensleitung. Aufgrund der Art der Seite — die User waren verheiratete Personen, die andere verheiratete Nutzer für außereheliche Affären treffen möchten — änderte dieses Ereignis viele Leben dramatisch und ermöglichte es Cyberkriminellen, die Hacking-Opfer auf diverse Arten zu bedrohen.

„Sie sahen es voraus“

Hacker stehlen normalerweise Daten, um sie im Darkweb weiterzuverkaufen, jedoch schienen die Täter, die hinter dem Hackerangriff auf Ashley Madison steckten, aus Gerechtigkeit gehandelt zu haben, und nicht, um Geld zu verdienen.

Zunächst sendete das Impact Team eine Nachricht an das Managementteam von Avid Life Media, der Muttergesellschaft von Ashley Madison. In der Nachricht informierten sie Avid Life darüber, dass die Gruppe die Infrastruktur des Unternehmens gehackt hatte, und forderten Avid Life Media dazu auf, drei ihrer Dating-Webseiten zu schließen. Wenn sie dies nicht tun würden, würden die Benutzerdatensätze veröffentlicht werden. Das Unternehmen lehnte ab und 30 Tage später setzten die Erpresser ihre Drohung in die Tat um.

Sobald dies geschehen war, brachen die Abonnenten in Panik aus; nicht unbedingt wegen der Gefährdung ihrer Kreditkarten, sondern der Aufdeckung ihrer Liebesaffären und privaten Fotos. Forscher setzten sich in der Zwischenzeit ans Werk und analysierten den Quelltext der Webseite, und machten bald viele kuriose Funde.

Zunächst enthält der Quelltext von Ashley Madison viele Schwachstellen, durch die Hacker sich durch die Infrastruktur der Webseite bewegen konnten, sobald sie eine Einstiegsstelle fanden. Zudem ergab die Analyse, dass die Seite lasche Anforderungen für Passwörter besaß: Passwörter mussten 5 bis 8 Zeichen enthalten, mit nur zwei unterstützten Arten von Zeichen.

Avid Life Media und ihre Nutzer wurden mit den Konsequenzen der massiven Schwachstellen konfrontiert — die aufgrund der Servicearten von Ashley Madison gravierender ausfielen als die Auswirkungen von Schwachstellen anderer, beliebterer Dienste.

Unternehmensverluste: beflecktes Ansehen, zerbrochene Träume

Allgemein war die Reaktion der Öffentlichkeit auf die Sicherheitslücke ein recht überraschtes Freudengeschnatter. Viele sahen die Entdeckung als „unmittelbares Karma“ des Unternehmens – letztendlich war das Geschäftsmodell von Avid Life Media auf Untreue und Lügen aufgebaut. Nachdem die Daten, einschließlich vertraulicher Unternehmensdaten, durchgesickert waren, wurden sie von Forschern untersucht – und dann waren die Nutzer an der Reihe, sich zu ärgern.

Forschungen zeigten, dass das Markenversprechen von Ashley Madison, mit dem der Dienst eine Kundenbasis von Millionen von Nutzern aufbauen konnte, eine dreiste Lüge war. Neben anderen Funktionen, die darauf abzielten, dass die Nutzer sich bezüglich der Diskretion auf der Seite sehr wohl fühlen konnten, vermarktete Ashley Madison aktiv seine Option „vollständig löschen“, wodurch Usern die Möglichkeit verkauft wurde, ihre Profile vollständig und dauerhaft zu löschen — ein Dienst, für den die Seite ganze 19$ berechnete. Die Funktion brachte Ashley Madison jährlich mehr als 1,7 Millionen Dollar ein.

Jedoch löschte der Dienst nur Profildaten. Die Zahlungsdaten bewahrte er auf; somit auch die Namen, Rechnungsadressen und Kreditkarteninformationen, die auf dem Unternehmensserver verblieben. Selbst wenn ein User ein Pseudonym zur Registrierung verwendete, war sein richtiger Name unauslöschlich im System.

Weitere Nachforschungen ergaben andere interessante Leckerbissen: Die meisten koketten Damen auf Ashley Madison waren echte Chatbots, deren wahre Aufgabe es war, User, die den Dienst ausprobierten, in Unterhaltungen zu verwickeln, und sie dazu zu bringen, Geld zu zahlen, um die Unterhaltung weiterführen zu können. Die Chatbots waren keine unschuldigen Fehler: Die Täuschung war gewollt, und umfasste sehr viel Codierung und selbst einige Analysen von Kundenpräferenzen: So wurden z. B. einige User mit „Frauen“ der scheinbar gleichen Ethnie zusammengeführt.

Schließlich war Avid Life Media unbekannten und unerbittlichen Hackern ausgesetzt, und das kostete das Unternehmen sehr viel. Es setzte ein paar Monate nach dem Hackerangriff einen Börsengang an, aber als die Hölle losbrach, war ein Börsengang sinnlos geworden; es gab keine Möglichkeit, die vorausgesehenen 200 Millionen Dollar vom anfänglichen Aktienkauf aufzubringen. Stattdessen wurde Avid Life Media mit Klagen, Anhörungen und dem Rücktritt des Geschäftsführers Noel Biderman konfrontiert.

Der Vorfall zwang Ashley Madison dazu, seine Marke umzugestalten: Ein Jahr nach dem Vorfall änderte Ashley Madison sein Hauptangebot und seine Devise. Der provokante Slogan „Das Leben ist kurz. Haben Sie eine Affäre.“ verschwand. Nun sehen Besucher der Seite den Slogan: „Das Leben ist kurz. Finden Sie Ihren Moment.“ Der Dienst ließ das Bild einer Seitensprung-Webseite hinter sich und bezeichnet sich selbst als „den besten Ort, um reale und diskrete Beziehungen mit aufgeschlossenen Erwachsenen zu finden.“

Strafe für Nutzer: Scheidung, Scham, Verzweiflung

Während Avid Life Media verzweifelt versuchte, die Auswirkungen der Sicherheitslücke zu mindern, indem sie eine Prämie von 500.000$ für jegliche brauchbare Informationen zu den Hackern anbot, konnten sich Nutzer nur auf harte Zeiten einstellen. In den Wochen nach der Veröffentlichung stoppte der Kundendienst von Avid Life Media eine informative Beantwortung der Tausenden von entsetzten Anfragen, und überlies die Kunden so sich selbst.

Unzählige Ehen standen kurz vor der Scheidung, und Opfer hatten Angst davor, ihren Partnern ein Geständnis zu machen, was in einigen Fällen zu beunruhigenden und selbst tragischen Entscheidungen führte.

In der Zwischenzeit nahmen Onlineanwälte die Mitglieder der Seite weiterhin gnadenlos unter Beschuss. Ein Moderator eines australischen Radiosenders teilte einer Frau live mit, dass ihr Ehemann auf Ashley Madison registriert war, und eine Zeitung aus Georgien veröffentlichte alle aufgedeckten Namen.

Die bevorstehende Bedrohung hing über tausenden von Militäroffizieren, Geistlichen, Prominenten, Politikern und anderen Personen der Öffentlichkeit. Die Preisgabe der Namen würde ihrem Ansehen extremen Schaden zufügen.

Einige Medien berichteten davon, dass viele Militäroffiziere oder Angestellte von Regierungsbehörden ihre geschäftliche E-Mail-Adresse verwendeten, um sich bei Ashley Madison zu registrieren. Obwohl der Bericht nicht bestätigt wurde, legten die Gerüchte einen Schatten über viele hochrangige Einrichtungen, einschließlich der Kanzlei des britischen Premierministers.

Möglichkeiten für Kriminelle: Erpressung, Spam, Phishing

Die Kriminellen hinter dem Hackerangriff waren nicht die üblichen Verdächtigen, die Benutzerdaten stehlen, um Geld zu verdienen. Aber sobald das Impact Team die Tür einmal geöffnet hatte, verschwendeten andere Cybergangs keine Zeit.

Zunächst waren die betroffenen User einfache Beute für einen Kreditkartenbetrug. Obwohl sich viele User auf Ashley Madison unter einem falschen Namen registrierten, mussten sie ihren wahren Namen bei der Zahlung offenlegen. Die Datenbank enthielt scheinbar keine vollständigen Kreditkarteninformationen, aber in einigen Fällen war es Kriminellen möglich, die letzten vier Ziffern zu verwenden, um die vollständige Kreditkartennummer zu erhalten. Und damit konnten sie Geld von Bankkonten stehlen oder Onlineeinkäufe durchführen.

Aber im Fall von Ashley Madison war Kreditkartenbetrug nicht der einzige Weg, um die Nutzerdaten zu verwenden. Mit den persönlichen Daten stellten Erpresser Kontakt mit den Opfern her und drohten damit, ihre Familien und Angestellten über die Affären zu informieren, und sehr persönliche Fotos und Unterhaltungen mit den Facebook-Freunden und LinkedIn-Verbindungen der Opfer zu teilen. Da sie einer unerträglichen Preisgabe gegenüberstanden, zahlten einige Opfer das Lösegeld, ohne jeglichen Beweis dafür, dass sie die Erpresser danach in Frieden lassen würden. Jedoch schien es keine Option, die Polizei über die Erpresser zu informieren.

Solche Machenschaften sind noch immer aktuell. Ein Kunde aus New Jersey teilte kürzlich seine Geschichte zu Ashley Madison unter der Bedingung, dass er anonym bleiben wolle. „Mr. Smith“, geschieden und ehemals mit seinem richtigen Namen und seiner Kreditkarte auf Ashley Madison registriert. Nach kurzer Zeit erhielt er einen Brief von Erpressern, die behaupteten, seine Privatadresse, Bankinformationen, etc. zu haben.

„Wir haben auch Zugriff auf Ihre Facebook-Seite. Wenn Sie nicht wollen, dass ich diese schmutzigen Informationen mit all Ihren Freunden, Familienmitgliedern und Ihrem Ehepartner teile, müssen Sie mir genau 5 Bitcoins (BTC) an die folgende BTC-Adresse schicken…Die Frist endet in den nächsten 24 Stunden,“ hieß es in der E-Mail. „Beachten Sie, wie teuer ein Scheidungsanwalt ist. Wenn Sie sich nicht länger in einer festen Beziehung befinden, sollten Sie darüber nachdenken, wie dies Ihren sozialen Status in Ihrer Familie und unter Ihren Freunden beeinflussen wird. Was werden Ihre Freunde und Ihre Familie darüber denken…“.

Smith denkt nicht, dass er etwas Beschämendes getan hat, also entschied er sich dazu, diese Informationen mit der Welt zu teilen, statt der Zahlung eines Lösegelds nachzugehen. Wie andere Opfer darauf geantwortet hätten, wissen nur sie.

https://twitter.com/ChangeCU/status/755973027049766912

Berichte zum Hackerangriff der „Seitensprung-Webseite“ brachten schnell eine neue Art von Phishing-Seiten hervor. Personen, die darum besorgt waren, ob ihre Partner ihnen untreu gewesen waren, wurden so einfach wie eigentliche Nutzer von Ashley Madison zu Webseiten weitergeleitet, um eine E-Mail-Adresse auf der veröffentlichten Datenbank von Ashley Madison zu überprüfen.

Jedoch waren Nutzer, die eine E-Mail-Adresse an solche Seiten weiterleiteten, gefährdet, Opfer von Spam- oder Phishing-Angriffen zu werden. Cyberkriminelle erstellten eine falsche Webseite, um reale E-Mail-Adressen zu sammeln und verwendeten sie dann für Spam- oder Phishing-Zwecke. Sobald eine Adresse eingegeben wurde, würde sie ungeschützt an Kriminelle weitergeleitet werden, die sie dann für einen Betrug nutzen würden.

Post mortem

Seit dem Vorfall von Ashley Madison ist ein Jahr vergangen und wir haben von erschreckend vielen massiven Sicherheitsschwächen und ihren Konsequenzen erfahren. Jedoch hatte der Hackerangriff auf Ashley Madison andere Folgen, persönlicher und tiefgehender als Kreditkartennummern und Passwörter aus sozialen Medien. Es ging um private Geschichten, die andernfalls nicht ans Licht gekommen wären, und die weltweit zur Schau gestellt wurden.

Einige Schwachstellen können langanhaltende Auswirkungen für den betroffenen Dienst und dessen Nutzer haben. So kann man z. B. nur erahnen, was passiert wäre, wenn Kriminelle ein Tool entwickelt hätten, um Daten vom Ashley-Madison-Dump mit denen eines anderen Hacker-Großangriffs zu vergleichen — den auf das United States Office of Personnel Management. Diese Schwachstelle gefährdete persönliche Daten von Millionen von Angestellten der US-Regierung, einschließlich derer, die Zugriff auf geheime Informationen hatten.

Zurzeit wissen wir von drei publik gemachten Prozessen gegen Avid Life Media. Jedoch wurden viele Scheidungen ohne Aufsehen vollzogen. Millionen leben noch immer mit der Angst, dass ihre Untreue aufgedeckt wird. Und Avid Life Media, ein bis Mitte 2015 vielversprechendes Unternehmen, wurde dazu gezwungen, seine Entwicklungsstrategie zu überdenken. Das Unternehmen wird mit den Konsequenzen der Sicherheitsschwachstelle in den nächsten Jahren leben müssen.

Ehe und Treue sind nicht unser Geschäft; sie sind persönliche Entscheidungen und es ist nicht unsere Aufgabe, Nutzern eine Lektion zu erteilen. Aber wir befinden uns in der unangenehmen Position, Nutzer zu warnen, die diese intimen Entscheidungen online treffen. Gebundene und alleinstehende Personen, die sich Online-Affären oder Sexting hingeben, erhöhen das Risikoniveau. Ihre persönlichen Daten und Ihr Ansehen stehen auf dem Spiel. Und die Art dieser privaten Informationen machen sie zu einfacher und anfälliger Beute für Cyberkriminelle, die die schmutzigsten Tricks verwenden — wie z. B. Erpressung.

Wenn Sie noch immer die gefährlichen Gewässer des Onlinedatings ergründen möchten, behalten Sie ein paar einfache Tipps im Hinterkopf, die Ihnen helfen können, das Risiko für potentielle Sicherheitslücken zu mindern:
  • Achten Sie auf Ihre eigene Sicherheit — erwarten Sie nicht, dass das die Webseite für Sie übernimmt. Versuchen Sie Kreditkartenzahlungen zu vermeiden; verwenden Sie, wenn möglich, Gutscheine, und verwenden Sie einen falschen Namen und eine falsche Adresse auf Ihrem Profil.
  • Teilen Sie keine Nacktfotos, selbst — oder besonders — wenn Sie dazu aufgefordert werden. Sie können vielleicht Ihrem Chatpartner vertrauen, aber heutzutage ist niemand vor Datenraub sicher, also seien Sie für den schlimmsten Fall gewappnet.
  • Nutzen Sie niemals Ihre geschäftliche E-Mail-Adresse, um sich einzuloggen. Ein Hacker, der Sie mit Ihrem Arbeitgeber in Verbindung bringt, sieht darin eine höhere Erpressungsmöglichkeit — es könnte sogar einen Social-Engineering-Angriff ermöglichen und die Sicherheit Ihres Unternehmens gefährden.
  • Verwenden Sie für Online-Dating eine private E-Mail-Adresse, aber nicht Ihre Hauptadresse.
  • Verwenden Sie einen falschen Namen. Für maximale Sicherheit, registrieren Sie sich nicht unter Ihrem wirklichen Namen und geben Sie natürlich keine Erlaubnis zum Zugriff auf Ihre Social-Media-Konten. Je mehr Informationen ein Betrüger oder Erpresser über Sie hat, desto leichter kann er Ihnen schaden.
  • Wenn eine Sicherheitslücke für Sie Folgen hat, erwerben Sie keine Angebote, um Ihre Informationen in der Datenbank zu überprüfen; es könnte sich um eine Falle handeln. Wenn Sie einen Sicherheitscheck durchführen wollen, können Sie HaveIBeenPwned? ausprobieren, eine von einem White-Hat-Hacker und dem Sicherheitsforscher Troy Hunt entwickelte Seite.
  • Wenn Ihre Daten gefährdet sind, stellen Sie sicher, dass Sie die Passwörter in anderen Onlinediensten ändern, in denen Sie ähnliche oder identische Passwörter verwendet haben: Hacker wissen genau, dass Nutzer dazu neigen, ihre Passwörter erneut zu verwenden. Sollten Sie zögern, könnten die Täter Ihren Facebook- und LinkedIn-Account hacken— oder schlimmer, Ihren E-Mail-Account. Sie müssen vielleicht sogar neue Kreditkarten beantragen.
  • Vielleicht ist der wichtigste Tipp, stets im Hinterkopf zu behalten, dass Ihr Benutzerkonto zu jeder Zeit gehackt werden kann. Leider ist es heutzutage keine Frage des „Ob“, sondern des „Wann“.