Die Seitensprung-Webseite und die Hacker

„Ich habe nichts gemacht“ – diese Ausrede könnte für Nutzer der Seitensprung-Webseite Ashley Madison demnächst nichts mehr bringen, da Hacker die persönlichen Daten von 37 Millionen Nutzer der Seite gestohlen haben. Die Hacker drohen damit, die ganze Datenbank zu veröffentlichen, wenn die Betreiber der Seite ihr Geschäft mit zwei ihrer Web-Dienste nicht einstellen.

Die beliebte Dating-Seite Ashley Madison wirbt mit dem provokanten Slogan „Life is short. Have an affair“, die daran angeschlossene Seite Established Men will reiche Männer mit Frauen zusammenbringen – beide Seiten gehören dem Unternehmen Avid Life Media (ALM). Die Hacker behaupten, mit dem Angriff die unfairen Praktiken der Firma zu bestrafen: Angeblich verlangt das Unternehmen von seinen Anwendern eine Gebühr von 19 Dollar für das vollständige Löschen eines Profils, löscht die Nutzerdaten aber nicht so vollständig wie versprochen.

Die Hacker dazu: „Anwender zahlen fast immer mit Kreditkarte; ihre Einkaufsdaten werden nicht wie versprochen gelöscht, und diese enthalten echte Namen und Adressen – genau die Daten, die die Nutzer gelöscht haben möchten.“

#Ashley Madison – Die Seitensprung-Webseite und die Hacker

Tweet

Im Namen des Rechts verlangen die Hacker von ALM, beide Webseiten in all ihren Varianten permanent abzuschalten. Anderenfalls wollen sie die Namen und Adressen der Kunden zusammen mit Informationen zu deren sexuellen Fantasien online veröffentlichen.

Die Hacker erlauben dem Unternehmen gnädigerweise, andere Seiten online zu belassen (wobei die einzige andere Seite von ALM die Dating-Seite Cougar Life ist, die ältere Frauen mit jüngeren Männern verkuppelt). Die Firma hat darauf mit einer Klage gegen die Angreifer reagiert.

#TDSBreakingNews Cheating website Ashley Madison hacked. Back to cheating the old-fashioned way: with wife's sister.

— The Daily Show (@TheDailyShow) July 20, 2015

KrebsOnSecurity berichtet, dass Beispiele der gestohlenen Daten bereits online veröffentlich wurden und den Hack bestätigen, wobei ALM geschafft hat, die veröffentlichten Daten kurz darauf löschen zu lassen. Das Unternehmen bestätigte den Hacker-Einbruch und sagte dazu, dass bereits „führende Forensiker und andere Sicherheitsspezialisten daran arbeiten, den Ursprung, die Art und das Ausmaß des Einbruchs festzustellen“.

Möglicherweise war eine Person mit Insider-Wissen über das Netzwerk der Firma in den Einbruch involviert – vielleicht ein früherer Mitarbeiter oder ein Auftragnehmer. Ein indirekter Beweis für diese Theorie könnte in der Entschuldigung zu finden sein, die die Angreifer an den Director of Security von ALM gerichtet haben: „Unsere einzige Entschuldigung gilt Mark Steele. Sie haben alles getan, was getan werden konnte, aber nichts davon hätte das hier verhindern können.“

Dating site, Match are putting user data at risk with non-HTTPS login. Via @arstechnica – http://t.co/8ojiCWsxbL pic.twitter.com/3gmkxE7w83

— Kaspersky Lab (@kaspersky) April 21, 2015

Für ALM steht ein riesiger Umsatz auf dem Spiel: Laut den Hackern brachte alleine die Bezahlung für gelöschte Profile dem Unternehmen im Jahr 2014 über 1,7 Millionen Dollar ein. Das gesamte Ashley-Madison-Projekt wird mit über 1 Milliarde Dollar bewertet.

Derzeit scheint ALM den Forderungen der Hacker nicht Folge leisten zu wollen. Allerdings steht die Privatsphäre von 37 Millionen Seitensprungwilligen auf dem Spiel. Selbst wenn man Moralfragen und mögliche familiäre Probleme außer Betracht lässt, können die Daten von anderen Cyberkriminellen für Phishing-Angriffe oder Bankbetrug missbraucht werden.

Wer vor allem die Schuld daran trägt, ist nicht ganz klar: Ist es ALM, die Sicherheit versprochen haben, oder sind es die Anwender selbst. Ein Bericht der Electronic Frontier Foundation zeigt, dass Dating-Seiten aus Sicht der Sicherheit und Privatsphäre sehr gefährlich sind. Erst vor wenigen Monaten wurde eine andere Dating-Seite gehackt und die sexuellen Vorlieben, Fetische und Geheimnisse von über 3,5 Millionen Menschen wurden bloßgestellt.

6 heartbreaking #privacy and #security flops on major online dating sites – and what you can do about it. https://t.co/jrY3xXw8

— EFF (@EFF) February 10, 2012

Wenn Sie für (intime) Waren und Dienste mit einer Kreditkarte bezahlen, teilen Sie immer auch vertrauliche Informationen dem Verkäufer mit – und jedem Hacker, der es schafft in das System des Verkäufers einzudringen. Sind diese Daten einmal online veröffentlicht, gibt es keine Möglichkeit, sie wieder löschen zu lassen.

Deshalb ist die Sicherheit so wichtig:

• verwenden Sie verschlüsselte Kommunikationskanäle
• zahlen Sie – wenn möglich – bar, wenn Sie nicht möchten, dass unfaire Verkäufer Ihre Daten speichern und missbrauchen
• verwenden Sie verschiedene E-Mail-Adressen und einen Spitznamen für Dating-Webseiten

Dating in the digital age & staying safe online. http://t.co/FVE0ylNElM #onlinedating #onlinesecurity pic.twitter.com/PdNZZMIzuS

— Kaspersky Lab (@kaspersky) February 21, 2015

Laut ALM werden die Hacker bald identifiziert werden. Leider ist unklar, ob die Untersuchung rechtzeitig genug zum Ende geführt wird, um die Privatsphäre von Millionen von Anwendern zu retten.