Die Hacker des Seitensprungportals Ashley Madison haben offenbar ihre Drohung wahr gemacht und gestohlene Daten von Millionen Nutzern veröffentlicht. Die Firma prüft nach eigenen Angaben noch, ob die Informationen echt sind.
Toronto - Rund einen Monat nach dem Datendiebstahl beim Seitensprungportal Ashley Madison sind angeblich Nutzer-Informationen veröffentlicht worden. Eine Datenmenge von 9,7 Gigabyte sei im sogenannten Darknet gepostet worden, zugänglich über den Anonymisierungs-Dienst Tor, wie unter anderem das Magazin „Wired“ berichtete. In den Dateien sind den Berichten zufolge Profildaten wie Namen, Adressen und Telefonnummern sowie verschlüsselte Passwörter enthalten. Die Datensätze sollen von rund 33 Millionen Nutzern stammen. Das Unternehmen hinter Ashley Madison betonte in einer Mitteilung, man untersuche die Situation weiter und arbeite daran, die Echtheit der Daten zu prüfen sowie illegal veröffentlichte Informationen löschen zu lassen. Zugleich zweifelte der frühere Technikchef von Ashley Madison, Raja Bhatia, die Echtheit der Daten an. Er ist seit dem Hack als Berater für das Unternehmen aktiv.
Unter anderem seien in dem aktuellen Paket auch Kreditkarten-Daten enthalten - aber Ashley Madison speichere diese nicht, sagte Bhatia dem IT-Sicherheitsexperten Brian Krebs. „Wir sehen jeden Tag 30 bis 80 angebliche Veröffentlichungen.“ Davon stelle sich der Großteil als gestohlene Daten aus anderen Quelle heraus. Krebs hatte im Juli als erster über den Angriff berichtet. Er selbst kam allerdings nach einer ersten Analyse der Datensätze zu dem Schluss, dass sie echt seien. Die Hacker hatten im Juli gedroht gedroht, die Informationen zu veröffentlichen, wenn Ashley Madison nicht schließe. Der Dienst sei unmoralisch. Nach Bekanntwerden des Datenklaus hatte die Firma Nutzern die Gratis-Löschung von Profilen angeboten. Betreiber des Portals ist der kanadische Internet-Konzern Avid Life Media. Der IT-Sicherheitsexperte Graham Cluley betonte angesichts der neuen Veröffentlichung, dass selbst aus echten Daten nur bedingt Rückschlüsse über Personen gezogen werden könnten. Ashley Madison habe keine Bestätigungs-Antwort angefordert, wenn Nutzer ihre E-Mail-Adressen angegeben hatten. In der Datenbank könnten also auch E-Mails von Leuten auftauchen, die nie etwas mit der Firma zu tun gehabt hätten.
Datenpaket beinhaltet 36 Millionen E-Mail-Adressen
In dem veröffentlichten Datenpaket sollen rund 36 Millionen E-Mail-Adressen zu finden sein, über 15 000 davon hätten die Endungen „.mil“ und „.gov“, die auf Accounts aus dem US-Militär und Regierungsbehörden hinweisen. Der Sicherheitsforscher Robert Graham schrieb nach einer Auswertung des Pakets, es enthalte Daten von 28 Millionen Männern und 5 Millionen Frauen. Zu den genannten persönlichen Informationen gehörten unter anderem auch Größe und Gewicht. Viele Profile scheinen von Personen mit falschen Angaben angelegt worden zu sein, um einen Blick in die Website zu werfen. Die Kreditkarten-Informationen enthielten Daten zu Transaktionen, aber nicht die Kartennummern. US-Journalist Sam Biddle vom Klatschportal „Gawker“ schrieb, er habe in den Daten ein Profil wiedergefunden, das er einst bei Recherchen für einen Artikel über Online-Dating angelegt habe. Auch die Sicherheitsforscher berichteten, sie seien von diversen Nutzern kontaktiert worden, die ihnen die Echtheit von Daten bestätigt hätten.
Microsoft-Mitarbeiter Troy Hunt integrierte die Informationen in eine von ihm betreute Datenbank „haveibeenpwned.com“, die anzeigt, ob E-Mail-Adressen von Hackerangriffen betroffen waren. Er habe aber durch ein Bestätigungssystem dafür gesorgt, dass nur die tatsächlichen Nutzer der E-Mail-Profile sich darüber informieren könnten, ob ihre Adressen in dem angeblichen Ashley-Madison-Datenpaket auftauchen. Ashley Madison hatte die Flirt-Plattform vor allem bei Verheirateten für Seitensprünge beworben. Dabei wurde auch Diskretion versprochen. Noch vor einigen Monaten hatte die Firma Pläne für einen Börsengang bekannt gegeben. Der Umsatz lag im vergangenen Jahr bei 115 Millionen US-Dollar.