Hacker, die sich Impact Team nennen, haben 9.6GB Daten veröffentlicht, die sämtliche Geschäftsdaten des Fremdgehservices AshleyMadison.com enthalten sollen. Die Hacker sind im Juli 2015 an die Daten gelangt und wollten damit Avid Life Media (ALM), den Betreiber AshleyMadisons und weiterer Seiten erpressen. ALM solle den Betrieb sofort und dauerhaft einstellen, oder die Daten gehen an die Öffentlichkeit.

Welche Daten wurden veröffentlicht?

Bei den Daten, die vom Impact Team veröffentlicht wurden, handelt es sich unter anderem um Folgendes:

• E-Mail-Adressen aller Nutzer
• Sexuelle Vorlieben aller Nutzer
• Kreditkarten-Transaktionsdaten
• Interne Kommunikation ALMs
• Angaben zur von ALM eingesetzten Technologie
• Private Daten ALM-Mitarbeiter

Die Daten sind im unsortierten SQL-Export abgelegt und enthalten Duplikate. Insgesamt sind 30’612’501 E-Mail-Adressen in den Daten gespeichert, darunter 56’323 Adressen, die auf .ch enden.

Sind die Daten einsehbar?

Theoretisch ja. Es ist möglich, dass Sie die Daten ansehen können, aber unwahrscheinlich. Die Daten sind zwar im Klartext abgelegt, aber die Datei mit den E-Mail-Adressen – eine der kleineren Dateien – ist 1.7 GB gross. Jeder normale Texteditor ist nicht auf die Verwendung solcher Daten ausgelegt. Erst durch Splitten der Dateien wird es möglich, die Daten auszulesen.

Wer ist betrogen worden?

Doch auch selbst wenn Sie in der Lage sind, die Dateien zu durchsuchen, ohne dass Ihr Computer abstürzt, heisst das noch nicht, dass Ihr Partner Sie betrogen hat. Security Researcher Per Thorsheim hat gegenüber dem Techblog Techcrunch angegeben, dass AshleyMadison.com keinerlei E-Mail-Verifikation durchführt.

Das macht es Nutzern leicht, Accounts unter fremdem Namen zu erstellen. Deshalb findet sich unter den eingetragenen Mailadressen Einträge wie aaa@bbb.com und ähnliche Platzhalter. Ferner sind unter den Adressen auch zahlreiche offensichtliche Decknamen

Sind die Kreditkartendaten sicher?

In den Daten, die das Impact Team veröffentlicht hat, sind auch 2643 Kreditkartenreports enthalten. Darin sind alle Transaktionen nach Tag und Uhrzeit sortiert. Darin hat ALM folgende Daten festgehalten:

• Account-Nummer
• Site, auf der der Nutzer registriert ist (zum Beispiel Ashley Madison)
• Betrag in nicht spezifizierter Währung
• Autorisationscode
• AVS
• Marke der Kreditkarte in Kürzel
• Die vier letzten Ziffern der Kreditkartennummer
• CVD
• Vorname: Meist sind hier Zahlen zu finden
• Nachname: Meist ist das hier der volle Name
• ID des Händlers
• Option Code
• Datum und Uhrzeit des Kaufs in unbekannter Zeitzone
• Transaktions-ID
• Bestätigungsnummer
• Fehlercode
• Status der Autorisation
• Typ der Buchung (zum Beispiel: Kauf, Bestätigung, Abrechnung)
• Wohnort des Kunden
• Land des Kunden
• E-Mail-Adresse des Kunden
• IP des Kunden
• Postleitzahl des Wohnorts des Kunden

Wenn Ihr Name in einer dieser Dateien auftaucht, dann ist es sehr wahrscheinlich, dass Sie mit den Datingsites ALMs zu tun hatten. Aber mit den Daten, die ALM gesammelt hat, können Dritte keine Käufe mit Ihrer Kreditkarte tätigen.

Über den Autor

Der Journalist Dominik Bärlocher ist seit 2006 im IT-Bereich tätig. Während seiner Arbeit als Journalist bei grossen Schweizer Zeitungen sind ihm seine Recherchefähigkeiten und seine IT-Affinität immer wieder zu Hilfe gekommen. Bei scip AG führt er OSINT Researches durch und betreibt Information Gathering.

Links

• http://techcrunch.com/2015/08/19/ashley-madison-data-dumped/
• http://www.ashleymadison.com