Computer >> คอมพิวเตอร์ >  >> ระบบเครือข่าย >> ความปลอดภัยของเครือข่าย

Ashley Madison รั่วไม่มีเรื่องใหญ่? คิดดูอีกครั้ง

คุณอาจทราบแล้วว่า Ashley Madison ซึ่งเป็นเว็บไซต์หาคู่ออนไลน์ที่ "รอบคอบ" ซึ่งมีเป้าหมายหลักที่คู่สมรสนอกใจ ถูกแฮ็กเมื่อเร็วๆ นี้ ไซต์ดังกล่าวได้รวบรวมความขัดแย้งมาหลายปี โดยส่วนใหญ่มาจากการแสดงโฆษณาเช่นนี้:

แฮ็กเกอร์ที่เรียกตัวเองว่า "The Impact Group" กำลังขู่ว่าจะเปิดเผยข้อมูลเกี่ยวกับผู้ใช้หลายล้านคน (รวมถึงรูปภาพที่ประนีประนอมและข้อมูลส่วนบุคคล) หากไซต์ไม่ได้ถูกลบโดยบริษัทแม่ Avid Media Life ซึ่งเป็นเจ้าของหมายเลข ของไซต์เชื่อมต่ออื่นๆ

แรงจูงใจในการแฮ็กดูเหมือนจะเป็นข้อโต้แย้งทางศีลธรรมต่อการดำเนินงานของไซต์เอง แม้ว่าจะเป็นการไร้เดียงสาที่จะนับความเป็นไปได้ที่วัตถุประสงค์ที่แท้จริงคือแบล็กเมล์ และแฮกเกอร์เพียงแค่พยายามสร้างความสับสนให้กับปัญหา

ผู้ใช้ทั้งหมด 37 ล้านคนอาจได้รับผลกระทบ เช่นเดียวกับผู้ใช้ในอดีต ซึ่งรวมถึงผู้ที่ลบบัญชีของตน AML ระบุต่อสาธารณะว่าการสอบสวนภายในของพวกเขายังดำเนินต่อไป และพวกเขาเชื่อว่าพวกเขามีความคิดที่ดีว่าใครอยู่เบื้องหลังการแฮ็ก Noel Biderman ซีอีโอของ AML กล่าว

“เราอยู่ใกล้แค่เอื้อม [ยืนยัน] คนที่เราเชื่อว่าเป็นผู้ร้าย และน่าเสียดายที่อาจจุดชนวนให้เกิดสิ่งพิมพ์จำนวนมาก [... ] ฉันมีโปรไฟล์ของพวกเขาอยู่ตรงหน้าฉัน ข้อมูลรับรองการทำงานทั้งหมดของพวกเขา แน่นอนว่าคนที่นี่ไม่ใช่พนักงานแต่ได้สัมผัสบริการด้านเทคนิคของเราอย่างแน่นอน”

จนถึงตอนนี้ ความครอบคลุมของปัญหานี้ค่อนข้างน้อย เรียกว่าดูถูก มีความรู้สึกทั่วไปว่านี่ไม่ใช่ปัญหาร้ายแรง และแม้แต่การสนับสนุนระดับหนึ่งสำหรับแฮ็กเกอร์ ซึ่งรวมถึงจากสิ่งพิมพ์ขนาดใหญ่ เช่น เดลี่เมล์ โดยทั่วไปแล้วความรู้สึกก็คือผู้ที่ตกเป็นเหยื่อของการแฮ็คได้สิ่งที่กำลังมาหาพวกเขา วันนี้ ฉันอยากจะพูดเกี่ยวกับสาเหตุที่ปฏิกิริยานี้ไม่รับผิดชอบ และคิดถึงปัญหาที่ใหญ่กว่ามากซึ่งเราควรกังวล

ผลกระทบที่ซับซ้อน

เมื่อ 2 วันก่อน ชายคนหนึ่งอ้างว่าเป็นเกย์ ชาวซาอุดีอาระเบีย โพสต์ใน Reddit เพื่อขอความช่วยเหลือ ในฐานะผู้ใช้ Ashley Madison เขาต้องเผชิญกับการประหารชีวิตหากชื่อและรูปถ่ายของเขา (บางส่วนแสดงถึงพฤติกรรมรักร่วมเพศ) เปิดเผยต่อสาธารณะ หากเรื่องราวของเขาเป็นจริง เขาไม่ได้อยู่คนเดียว:ไซต์ที่ไม่ระบุตัวตนและสุขุมอย่าง Ashley Madison ดึงดูดใจชาวเกย์อย่างเห็นได้ชัด โดยเฉพาะอย่างยิ่งในเขตอำนาจศาลที่การมีเพศสัมพันธ์กับเกย์เป็นอาชญากร มีการประหารชีวิตการรักร่วมเพศในปีนี้แล้ว อันที่จริง ซาอุดีอาระเบียเร่งการประหารชีวิตในปีนี้ โดยเรียกสิ่งนี้ว่า 'การทำให้ระบบยุติธรรมคล่องตัวขึ้น'

ผู้ใช้ Reddit นิรนามโพสต์

“ฉันมาจากประเทศที่การรักร่วมเพศมีโทษประหารชีวิต ฉันเรียนที่อเมริกาเมื่อหลายปีก่อนและใช้ Ashley Madison ในช่วงเวลานั้น ฉันโสด แต่ใช้เพราะฉันเป็นเกย์ การมีเพศสัมพันธ์กับเกย์มีโทษถึงตายในบ้านของฉัน ดังนั้นฉันจึงต้องการให้การพูดคุยของฉันเป็นไปอย่างสุขุมรอบคอบ ฉันใช้ AM เพื่อติดต่อกับคนโสดเท่านั้น[...] ฉันกำลังจะถูกฆ่า ถูกทรมาน หรือถูกเนรเทศ และฉันไม่ได้ทำอะไรผิด"

นี่เป็นเรื่องที่น่าสยดสยอง แต่ผู้ใช้ที่เป็นเกย์ของ Ashley Madison ไม่ใช่คนกลุ่มเดียวที่ไม่เหมาะกับการเล่าเรื่อง 'ได้สิ่งที่พวกเขาสมควรได้รับ' เขตอำนาจศาลที่การหย่าร้างผิดกฎหมายเป็นอย่างไร? แล้วความสัมพันธ์ที่ไม่เหมาะสมซึ่งคู่สมรสอาจรู้สึกไม่ปลอดภัยที่จะขอหย่า? แล้วคนที่สร้างบัญชีแต่สุดท้ายเลือกที่จะไม่ดำเนินการนั้นล่ะ คนเหล่านี้สมควรที่จะถูกไล่ออกหรือไม่? เพราะหากข้อมูลนี้ถูกเปิดเผยต่อสาธารณะ ก็จะถูกเปิดเผย

ในแถลงการณ์ของแฮ็กเกอร์ พวกเขาไม่ค่อยเห็นอกเห็นใจต่อสภาพการณ์ของผู้ใช้นับล้านของไซต์

“แย่จังสำหรับผู้ชายพวกนั้น พวกเขากำลังโกงถุงสกปรกและไม่สมควรได้รับดุลยพินิจ [... ] ด้วยสมาชิกกว่า 37 ล้านคนซึ่งส่วนใหญ่มาจากสหรัฐอเมริกาและแคนาดา ประชากรร้อยละที่สำคัญกำลังจะมีวันที่เลวร้าย รวมทั้งคนรวยและมีอำนาจมากมาย”

เห็นได้ชัดว่า ไม่น่าเป็นไปได้ที่แฮ็กเกอร์จะให้ความคิดเฉพาะเจาะจงกับสถานการณ์เหล่านี้เมื่อพวกเขาเขียนข้อความนั้น - แต่นั่นเป็นปัญหาโดยตรง แฮ็กเกอร์เหล่านี้เป็นศาลเตี้ย ไม่ได้เป็นผู้พิทักษ์ข้อมูลที่ได้รับความไว้วางใจให้ใช้วิจารณญาณที่ดี พวกเขาไม่เคยได้รับความไว้วางใจด้วยข้อมูลที่ละเอียดอ่อนทั้งหมดนี้ และด้วยเหตุผลที่ดี!

การได้ยินเกี่ยวกับการแฮ็กนี้และพูดว่า 'ดีสำหรับพวกเขา' นั้นขาดประเด็น เรื่องราวในที่นี้ไม่ได้เกี่ยวกับการเอาคนขี้โกงออกไป แต่มันเกี่ยวกับบริษัทที่เราไว้วางใจให้เคารพความเป็นส่วนตัวของเราเพียงเล็กน้อยเท่านั้น Ashley Madison ล้มเหลวในการปกป้องความเป็นส่วนตัวของผู้ใช้ - ในระดับมหึมา และไม่ใช่เพียงคนเดียว

รูปแบบของความละเลย

ในปลายเดือนพฤษภาคม แฮ็กเกอร์ได้เข้าถึงฐานข้อมูลของ Adult Friend Finder ซึ่งเป็นไซต์เชื่อมต่อ ซึ่งถูกกล่าวหาว่าแบล็กเมล์ไซต์เป็นเงิน 100,000 ดอลลาร์ และโพสต์ข้อมูลทางออนไลน์ เพื่อเป็นการตอบโต้ แฮ็กเกอร์อีกคนหนึ่งชื่อ Andrew Auerenheimer ได้สุ่มเปิดเผยบุคคลสาธารณะบน Twitter รวมถึงรายละเอียดเกี่ยวกับพฤติกรรมทางเพศของพวกเขาด้วย ผู้ที่ออกไปข้างนอกนั้นรวมถึงพนักงานของ FAA และผู้บัญชาการของสถาบันตำรวจวอชิงตัน ข้อมูลเกี่ยวกับผู้ใช้มากกว่า 3.5 ล้านคนสามารถอ่านได้ฟรีทางออนไลน์ และฉันขอย้ำว่านี่ไม่ใช่เว็บไซต์ 'โกง' ส่วนใหญ่ คนเหล่านี้ไม่ได้ทำอะไรผิด แต่กลับพบว่าตนเองถูกเหยียดหยามต่อหน้าสาธารณชน

ไม่ใช่แค่สองไซต์นี้เท่านั้น เมื่อสองเดือนก่อน บล็อกเกอร์ที่ชื่อ Mircea Popescu สังเกตว่าเว็บไซต์หาคู่ที่เน้นเครื่องราง FetLife ไม่ได้ปกป้องฐานข้อมูลของตนอย่างถูกต้องจากผู้ใช้ภายนอก ทำให้ทุกคนที่มีความรู้พื้นฐานเกี่ยวกับการเขียนโค้ดสามารถขุดและรวบรวมรายชื่อหลักของโปรไฟล์ทั้งหมดได้ , รูปภาพ และวิดีโอ Popescu ใช้สิ่งนี้เพื่อสร้างสิ่งที่เขาเรียกว่า "FetLife Meatlist" [Broken URL Removed] - รายชื่อผู้ใช้ Fetlife เพศหญิงอายุต่ำกว่า 30 ปีเพื่อจุดประสงค์ในการทำให้เสียชื่อเสียง

น่าแปลก นี่เป็นครั้งที่สองที่ฉันพบ Popescu ในการเขียนของฉัน Popescu เป็นสมาชิกของกลุ่มที่เรียกตัวเองว่า "The Bitcoin Lordship" ซึ่งต่อต้านการเพิ่มขนาดบล็อก Bitcoin ที่จำเป็นด้วยเหตุผลที่โง่เขลาและสั้น ฉันจำได้ว่าคิดว่าโดยเฉพาะอย่างยิ่งเขาเป็นส่วนผสมที่น่าเกลียดของความหวาดระแวงหลงตัวเองและจริงจัง ตอนนี้ฉันรู้สึกได้รับการพิสูจน์แล้วในการประเมินนั้น และมากกว่าความพอใจเล็กน้อยที่บล็อกของเขาดูเหมือนจะปิดตัวลงเนื่องจากความยุ่งเหยิงที่ตามมา

เชื่อฉันเถอะ ไม่มีอะไรมีค่าหายไป

อย่างไรก็ตาม การมุ่งความสนใจไปที่แรงจูงใจของแฮ็กเกอร์ (แม้ว่าจะน่ารังเกียจก็ตาม) กลับเป็นประเด็นที่ขาดหายไป คนขี้โกงและพวกจิตวิปริตแบบต่อเนื่อง แม้ว่าจะมีสีสัน เป็นสิ่งที่เบี่ยงเบนความสนใจจากเรื่องจริง ซึ่งไซต์เหล่านี้ล้มเหลวอย่างลึกซึ้งในการรักษาความปลอดภัยคอมพิวเตอร์ขั้นพื้นฐานและจำเป็นที่สุด

Ashley Madison รั่วไม่มีเรื่องใหญ่? คิดดูอีกครั้ง

FetLife อวดสื่อโฆษณาว่าพวกเขามี "เครื่องรางเพื่อความปลอดภัย" และเน้นย้ำถึงการใช้ SSL Secure Socket Layer เป็นมาตรฐานทั่วทั้งเว็บ ใช้งานจริงทุกเว็บไซต์และทุกเบราว์เซอร์ของผู้ใช้ ในความเป็นจริง ใครก็ตามที่มีความรู้พื้นฐานเกี่ยวกับการเขียนสคริปต์เว็บ (ตามกฎหมาย!) สามารถดึงข้อมูลทุกชิ้นจากเว็บไซต์ของ FetLife ได้ เนื่องจากพวกเขาไม่มีปัญหาในการปกป้องข้อมูลดังกล่าว Ashley Madison และ Adult Friend Finder มีความผิดในความผิดด้านความปลอดภัยที่คล้ายกัน

เว็บไซต์เหล่านี้ (และอีกหลายที่ที่ยังไม่ได้เปิดเผย) ประมาทเลินเล่อเกินความเชื่อ เนื่องจากมีความละเอียดอ่อนของข้อมูลที่พวกเขาจัดการ การแชร์ความคิดเห็นและการตัดสินชีวิตทางเพศของเหยื่อไม่สามารถแก้ปัญหานี้ได้..

คุณได้รับผลกระทบจากการแฮ็กของเว็บไซต์หาคู่ออนไลน์เหล่านี้หรือไม่ กังวลเกี่ยวกับความปลอดภัยของข้อมูลส่วนบุคคลของเราทางออนไลน์หรือไม่? การสนทนาเริ่มต้นในความคิดเห็น!