Život v digitální éře

Únik dat z Ashley Madison trestem nevěrníků

31. srpen 2015 četba na 7 minut

Je to příběh ne nepodobný desítkám předchozích, ale také stovkám budoucích. Z jedné z největších seznamek na internetu, Ashley Madison, hackeři ukradli údaje o zhruba 38 milionech uživatelů, kompletní zdrojové kódy e-vedení i zaměstnanců.

Předcházely tomu – podle hackerů – dlouhé měsíce, kdy se nerušeně procházeli po vnitřní síti, poznávali, shromažďovali a připravovali se k stažení dat. Udělali to nakonec v červenci, přičemž provozovatele varovali, že pokud nepřestane obchodovat s lidmi a podvádět je, vše zveřejní. 

Skoro to vypadá, jako by snad hackeři chtěli vystupovat z pozice ochránců morálky. Ashley Madison je totiž specializovaná seznamka pro ty, kdo chtějí podvádět partnery. Slibovala 100% soukromí, bezpečnost a za smazání nepotřebného účtu dokonce vybírala peníze. Jenže - bezpečnost se nekoná, soukromí není a jak hackeři předvedli, peníze sice uživatelé platili, ale jejich „smazaná" data zůstala v databázích.

Známý křesťanský youtuber Sam Rader si na podváděcí seznamce také pořídil účet. Ale jeho žena i Bůh mu prý odpustili a vlastně se vůbec nic nestalo. Image milujícího manžela a ochránce klasické rodiny musí zůstat zachována. Ať to stojí, co to stojí.

Seznamka pro nevěrníky coby poučení

Provozovatel seznamky podnikat nepřestal, útok hackerů sice v červenci přiznal, ale jen tak, aby se neřeklo. Tvrdil, že údaje uživatelů jsou bezpečné a soukromí zaručeno. Tvrdí to i na konci srpna, několik týdnů poté, co hackeři zveřejnili údaje o uživatelích. 

Jména, příjmení, e-maily, přehled transakcí platebními kartami, geolokační informace, sexuální preference. V zásobě hackeři ještě mají fotografie uživatelů, záznamy z chatové komunikace mezi nimi. Prostě všechno, co se v útrobách seznamky odehrávalo.

Ukázalo se, že v Ashley Madison uživatelům lhali. Smazané profily si nechávali, ale také nijak nekontrolovali uživatelské účty. Vedle záplavy nesmyslných e-mailů tam najdete například i e-mailovou adresu papeže, množství mailů vložených v rámci pomsty nebo vtipu, ale i miliony falešných účtů vytvořených podvodníky, jež ovšem zneužívají e-maily lidí, kteří o tom vůbec nevědí.

Vedle toho jsou tam ale miliony účtů, které jsou pravé. Muži, ženy, co chtěli podvádět své partnery. Neznámí lidé, stejně jako osobnosti, politici, úředníci. V řadě případů se tam registrovali e-maily svého zaměstnavatele či e-maily, které skutečně používají. Nebo si vytvořili za tímto účelem nový e-mail, ale jejich jméno a příjmení je stejně jeho součástí.

Falešný pocit bezpečí

Žádná snaha chránit se, utajit skutečnou identitu před zvědavými zaměstnanci provozovatele, před hackery, před někým, kdo získá přístup k jejich účtu. Prostě nic. Byť, a to je nutné zdůraznit, uživatelům by to stejně nepomohlo. Vůbec je nenapadlo, že třeba placení platební kartou je identifikuje dokonale, stejně jako další informace o nich, až po geolokační, tedy kde se kdy nacházeli. 

Internet je nebezpečné místo, neumožňuje žádné soukromí, pro běžné uživatele je ale dostatečné, když někdo jako Ashley Madison na hlavní stránce napíše „Ocenění za důvěrné zabezpečení" a „100% diskrétní služba".

Hackeři v rozhovoru pro magazín Motherboard uvedli, že se jim do systému Ashley Madison podařilo dostat snadno, a pak už jim nic nebránilo v nerušeném působení. Nikdo na průnik nepřišel, systémy nebyly chráněné a bezpečnost se nekonala.

Učebnicový příklad

Celý tenhle příběh je klasický. Služba na internetu roste, je úspěšná, obraty se pohybují v milionech dolarů. Uživatelé jsou ubezpečování o tom, jak to funguje a vše je zabezpečeno, šéf firmy se dokonce označuje za odborníka na zabezpečení. Pak – náhle – přijdou zlí hackeři, zaútočí, vykradou, co se dá. A zjistí se, že nikdo na bezpečnost nedbal.

Hackeři jsou navíc natolik „zlí", že službu nesmažou, jak se to dělávalo. Oni prostě zveřejní, co získali. Provozovatelé hrají mrtvého brouka, popírají, lžou, vymýšlejí si, zlehčují i zesměšňují útok. Pokud někdo o útoku píše, posílají právníky, zneužívají zákonů k cenzuře článků i příspěvků na sociálních sítích. Hackeři se smějí, zveřejňují další detaily, usvědčují firmu z dalších a dalších výmyslů.

Na Ashley Madison si navíc už brousí zuby rozvodoví právníci. Tisíce uživatelů se spojují do hromadných žalob o stovky milionů dolarů, novináři prohledávají záznamy o 38 milionech lidí, aby našli celebrity a politiky. Na uživatele útočí jiní hackeři a další chytráci pracují na tom, aby neopatrným klientům způsobili co největší škodu. Ať už zneužitím čísla jejich platební karty, prostým vydíráním nebo krádeží identity. 

Co že ještě dělá Ashley Madison? Vypsali odměnu půl milionu kanadských dolarů tomu, kdo přispěje k zadržení hackerů. A jak už bylo řečeno, jejich právníci vyhrožují těm, kdo o hacku píší. Prý že hacknutá data jsou vlastnictvím Ashley Madison. Poškození uživatelé jsou v tomhle boji vedlejší.

Chcete bezpečí či anonymitu?

Internet je veřejný prostor, nejinak je tomu u sociálních sítí a dalších služeb. Pokud někdo jako Ashley Madison slibuje „100% soukromí" či „bezpečí", nikdy to nemůže splnit. Můžete tomu trochu pomoci vy sami, ale nebude to jednoduché a nikdy to nebude stoprocentní.

Potřebujete anonymizovaný přístup k internetu, tedy ideálně něco jako TOR, ale ani to neznamená nulové riziko. Musíte si vytvořit kompletní falešnou identitu, e-mail nijak nespojitelný s vámi. 

Zapomeňte na používání mobilního internetu na telefonu nebo tabletu, nejenom proto, že tam něco jako TOR nejde (prozatím) snadno použít, ale hlavně proto, že mobilní zařízení vás spojí s příliš mnoha dalšími identifikovatelnými a zachytitelnými informacemi.

Tohle vás částečně ochrání, byť pořád může dojít k tomu, že vás někdo cíleně či nepřímo napadne, například podstrčením viru, trojského koně. Nebo, což je daleko pravděpodobnější, se vy sami někde nějak prozradíte. Dříve nebo později, hlavně v případě seznamky, budete muset „druhé straně" poskytnout více informací o sobě. A tady narazíte na to, co vlastně děláte vy: nemáte nejmenší tušení, jestli na druhé straně je skutečně člověk, který se vám představil. Ani poslání fotografie dnes nic neznamená.

Pokud si ale do podváděcí seznamky typu Ashley Madison založíte na freemailu e-mail v podobě jmeno.prijmeni666@neco.cz a začnete platit platební kartou, kde je uvedené vaše jméno a příjmení, tak se později nedivte ničemu. Zejména pokud své soukromí a osud svěříte někomu tak nekompetentnímu, jako je provozovatel Ashley Madison.