Hacker kündigen weitere Angriffe an
Nach dem Cyberangriff auf das Seitensprungportal Ashley Madison haben zwei kanadische Anwaltskanzleien eine Sammelklage über 578 Millionen Dollar (507 Mio. Euro) gegen die Seitenbetreiber eingebracht. Die Hacker hatten mehr als 32 Mio. Datensätze erbeutet und im Internet veröffentlicht. Indes gibt es erste Berichte, wonach Kriminelle die Daten für Erpressungsversuche nutzen.
Dieser Artikel ist älter als ein Jahr.
Der US-Sicherheitsforscher Brian Krebs habe bereits mehrere Erpresser-E-Mails gesichtet, wie das Portal Golem.de berichtete. Darin forderten Kriminelle Zahlungen in Bitcoin, andernfalls werde der Partner über den Zugang zu Ashley Madison informiert. Laut Krebs gehen mehrere Sicherheitsforscher davon aus, dass die Erpressungsversuche von Trittbrettfahrern in nächster Zeit zunehmen werden.
Auch Sicherheitsinstitutionen seien besorgt. In dem im Juli gestohlenen Datensatz fänden sich beispielsweise 15.000 E-Mail-Adressen von US-Militärangehörigen, die nun Ziel von Angreifern werden könnten. Gezielte Angriffe könnte es auch auf nichtsahnende Partner geben, die als vermeintlichen Beweis einen Anhang bekommen, der dann Schadsoftware enthält.
Klagen in Kanada und den USA
Bereits am Donnerstag hatten die beiden kanadischen Anwaltskanzleien Charney Lawyers and Sutts und Strosberg LLP vor einem Gericht in Ontario eine Sammelklage gegen Avid Dating Life Inc. und Avid Life Media Inc. eingebracht. Das berichtete die Nachrichtenagentur AP am Samstag. Die beiden Firmen betreiben das 2001 gegründete Portal Ashleymadison.com.
Reuters/Bobby Yip
Ashley-Madison-Gründer Noel Biderman
Eingebracht wurde die 500-Millionen-Euro-Klage im Namen des kanadischen Witwers Eliot Shore. Nachdem seine Frau an Brustkrebs gestorben war, habe er Gesellschaft gesucht und sich deshalb auf dem Portal registriert. Er habe seine Gattin nie betrogen und sich auch nicht mit anderen Mitgliedern der Ashley-Madison-Community getroffen. Das Gericht entschied laut AP noch nicht, ob Shores Klage den Status einer Sammelklage erhält. Tut sie das und erhält der Witwer vor Gericht Recht, dann würde das Urteil auch für viele andere Betroffene gelten. Unabhängig davon sehen sich die Seitenbetreiber mit einer weiteren Sammelklage einer US-Amerikanerin in den USA konfrontiert.
Erneut Datenpaket veröffentlicht
Wie am Donnerstag bekanntwurde, wurde offenbar ein weiteres Paket mit Daten von Ashley-Madison-Nutzern veröffentlicht. Die Daten schienen echt zu sein, erklärte Trusted Sec, ein Unternehmen für Internetsicherheit, in einem Blogeintrag. Das 20 Gigabyte große Paket enthalte offenbar alle Geschäfts-E-Mails von Portalchef Noel Biderman sowie die Quellcodes für alle Internetseiten, mobile Anwendungen und andere Informationen über Ashley Madison.
Der Hackerangriff auf das Seitensprungportal hatte sich bereits im Juli ereignet. Ashley Madison hat nach eigenen Angaben 37 Millionen User in 46 Ländern weltweit. Die mutmaßlichen Täter nennen sich The Impact Team. Sie warfen den Portalbetreibern am Freitag vor, über deren Website werde auch Menschenhandel betrieben. Die Betreiber benähmen sich wie „Drogendealer, die Süchtige ausnutzen“.
Gegenüber dem Blog Motherboard erklärte The Impact Team, zu den erbeuteten Daten gehörten auch Zehntausende Fotos von Nutzern sowie Chatprotokolle. Etwa ein Drittel der Nutzerfotos zeigten Penisse. Diese würden nicht veröffentlicht. Zudem drohten die Hacker mit weiteren Cyberattacken. Nicht nur Websites, sondern „alle Unternehmen, die Hunderte Millionen damit machen, dass sie von den Schmerzen, Geheimnissen und Lügen anderer profitieren“, könnten gehackt werden, erklärte die Gruppe.
Angeblich 80.000 Anmeldungen aus Österreich
Ob hinter den geleakten Nutzerdaten tatsächlich nur reale User stehen, ist fraglich. Ein Beispiel für eine offensichtlich falsche E-Mail aus Österreich nannte das Computer Emergency Response Team (CERT.at) am Freitag der APA. Die entsprechende Domain endete in diesem Fall auf „olizei.gv.at“. Das Vorhandensein solcher Adressen erkläre sich damit, dass die Ashley-Madison-Betreiber E-Mail-Adressen bei der Anmeldung nicht automatisch überprüft. Somit ist unklar, ob sich eine Person tatsächlich selbst mit ihrer Adresse angemeldet hat.
Reuters/Francois Lenoir
Das Seitensprungportal warb mit umstrittenen Ehebrechern
Hinter wie vielen der 79.582 Datensätze mit Herkunftsangabe Österreich sowie der 29.568 E-Mail-Adressen mit Endung ".at" tatsächlich reale Personen stehen, lässt sich nicht sagen. „Wenn man aber betroffen ist und sich tatsächlich angemeldet hat, sollten Passwörter geändert werden sowie Kreditkartenabrechnungen in der nächsten Zeit genau im Auge behalten werden“, sagte CERT.at-Experte Robert Waldner gegenüber der APA.
FBI: Viele weibliche Profile wohl unecht
Zweifel anderer Art kamen indes von der britischen Zeitung „The Telegraph“. Sie berichtete auf ihrem Onlineportal, Sicherheitsexperten hätten angedeutet, dass Ashley Madison möglicherweise auch E-Mail-Adressen von Unternehmen angekauft haben könnte, um so den Anschein zu erwecken, dass die Zahl der möglichen Seitensprungpartner weitaus höher als in der Realität ist.
Zudem erfuhr der „Telegraph“ von einer Quelle, die den FBI-Ermittlungen zu dem Datenklau nahesteht, dass die Untersuchung der Datensätze den Verdacht ergeben habe, dass viele der weiblichen Profile auf der Seite von einer relativ kleinen Zahl von Personen angelegt worden seien.
Website scheinbar kostenlos
Die Hacker warfen dem Unternehmen zudem vor, auch nach der Löschung von Profilen, die 19 Dollar (17,45 Euro) kostet, Zahlungsdaten weiterhin zu speichern. Von der Praxis der kostenpflichtigen Löschung ging das Unternehmen nach Bekanntwerden des Datendiebstahls wieder ab. Die Mitgliedschaft bei Ashley Madison ist an sich kostenlos, für das Schreiben persönlicher Nachrichten allerdings ist eine Zahlung an das Unternehmen notwendig.
Links:
