Jak zdradzono zdradzających
Afera wokół portalu Ashley Madison: zdradzający podwójnie oszukani
Artykuł w wersji audio
Idea Ashley Madison była prosta: ułatwić zdradę. Czyli umożliwić ludziom w stałych związkach znalezienie partnera seksualnego na boku. W lipcu dane użytkowników serwisu – pozwalające na szybką identyfikację i dające wiedzę o preferencjach seksualnych 37 mln osób – zaczęli jednak udostępniać w sieci hakerzy.
Wśród poszkodowanych mogło być kilka tysięcy Polek i Polaków. Tyle tylko, że niekoniecznie osób z krwi i kości. Szacuje się bowiem, że na liście ofiar znalazło się ok. 70 tys. kobiet-botów. Czyli sztucznych profili, które automatycznie zaprogramowanymi tekstami zagadywały klientów. Kilkadziesiąt milionów mężczyzn ryzykowało więc życie prywatne, by na portalu kontaktować się nieświadomie m.in. z botami. Na domiar złego te tzw. anioły zajmowały się tu przede wszystkim wyłudzaniem od nich pieniędzy (mężczyźni płacili za każdą wysłaną do nich wiadomość).
Atak hakerski na serwis randkowy nie musiał być wirtualnym wymierzeniem kary za niemoralne zachowanie. Włamywacze – The Impact Team (ang. Grupa Uderzeniowa) – uzasadniali go wprawdzie w ten sposób w oficjalnym oświadczeniu, ale równie dobrze mogli dokonać osobistej zemsty na pracownikach serwisu.
Charakter ataku może tłumaczyć fakt, że hakerzy ujawnili maile z konta dyrektora generalnego serwisu Noela Bidermana. Ich treść przeczy temu, o czym wcześniej zapewniał: że żony nigdy nie zdradził, mimo że kierował stroną reklamującą się hasłem „Życie jest krótkie. Wdaj się w romans”. Po kompromitującym wycieku z życia prywatnego Biderman ustąpił ze stanowiska. Zrobił to jednak dopiero półtora miesiąca po tym, jak doszło do złamania zabezpieczeń portalu. W tym czasie przyjął taktykę wpuszczania do sieci bagatelizujących sytuację oficjalnych stanowisk firmy.
O tym, że celem samych hakerów mogła być zemsta, mówią wprost jej pracownicy. Poza tym w pliku tekstowym towarzyszącym wykradzionym danym znalazło się zdanie: „Jak na firmę, która obiecuje pełną dyskrecję, zabezpieczaliście się tak, jakbyście w ogóle się nie starali, jakbyście myśleli, że nigdy nikogo nie wkurzyliście”. Brzmi jak rozprawa z osobistym wrogiem.
Maile, które pogrążyły Bidermana, znalazły się dopiero w trzecim, ostatnim dużym zrzucie danych do sieci. Do wycieku mogłoby w ogóle nie dojść, bo przed samym atakiem, który nastąpił w lipcu, hakerzy dali prowadzonej przez Bidermana firmie Avid Life czas, by dobrowolnie usunęła portal ashleymadison.com z sieci. Ponieważ pracownicy nie wywiązali się z wyznaczonego przez szantażystów terminu, anonimowi włamywacze przystąpili do ataku i przez trzy tygodnie niezauważeni zbierali dane z serwerów portalu.
Pod koniec lipca ujawnili informacje pozwalające zidentyfikować wielu użytkowników Ashley Madison: ich imiona, nazwiska, maile, adresy domowe... W liście towarzyszącym kompromitującym danym włamywacze próbowali dotkniętych wyciekiem pocieszać, twierdząc, że z sideł, jakie założyli, ujdą oni przecież z życiem. Problem w tym, że teraz w każdej chwili mogą łatwo stać się celem szantażu.
Z kolei Ashley Madison, które nie cieszyło się wcześniej wśród serwisów randkowych wyjątkowo dużą popularnością, mimo utraty dyrektora generalnego i absolutnej kompromitacji jego pracowników ma działać nadal. Choć przed atakiem ludzie związani z serwisem wiedzieli, że na swoich zabezpieczeniach danych mogą polegać – jak to ładnie ujęła dziennikarka „The Guardian” Lucy Mangan – równie dobrze co na przegniłych sznurkach hamaka plażowego. I że w przypadku zapowiedzianego przez hakerów ataku będzie im grozić w Stanach Zjednoczonych tsunami wielomilionowych pozwów.
Okazuje się, że – przynajmniej według informacji z firmy – od czasu nagłośnienia sprawy na stronę loguje się tygodniowo kilkadziesiąt tysięcy nowych użytkowników. W tym podobno zastępy dotąd skromnie reprezentowanych kobiet. Jeżeli to prawda, najlepiej podsumowuje to słynne szorstkie zdanie wypowiedziane kilkadziesiąt lat temu przez amerykańskiego dziennikarza Henry’ego Louisa Menckena: „Nikt jeszcze nigdy nie zbankrutował, nie doceniając amerykańskiej inteligencji”.
Sposób ochrony niektórych wrażliwych danych, wpisywanych w konta Ashley Madison, krytykowany był bez litości. Najpierw przez samych hakerów, a potem przez niezależnych ekspertów. The Impact Team ujawniło, że największym wyzwaniem było przygotowanie ataku tak, by nie zostać zauważonym i nie zostawić po sobie żadnych śladów.
Jedynym zabezpieczeniem na Ashley Madison było przechowywanie w osobnych miejscach zakodowanych haseł i adresów mailowych używanych do logowania. Administratorzy portalu magazynowali też standardowo cztery ostatnie numery z kart kredytowych, gromadząc powiązane z nimi adresy domowe.
Hakerzy mieli do wszystkich tych informacji nieograniczony dostęp, dysponują więc jeszcze około 300 GB nieopublikowanych danych. Dokonują ich oceny wedle własnego pojęcia o tym, co moralnie słuszne, a czego nie należy udostępnić. „Jedna trzecia to dick pics (ang. zdjęcia penisów) i tych już nie ujawnimy. Nie wypuścimy też większości maili zwykłych pracowników, co najwyżej innych dyrektorów” – powiedzieli w wywiadzie dla serwisu internetowego Motherboard.
Uzyskane dane udostępnili przez Tor (oprogramowanie zapewniające prawie całkowitą anonimowość podczas korzystania z internetu). Jeżeli więc nie popełnili przy okazji żadnych błędów, policja może nigdy nie natrafić na ich wirtualny ślad. Będzie musiała szukać informacji w udostępnionych dokumentach tekstowych i tu – jak zauważa magazyn „Wired” – pojawia się ciekawy polski wątek, który może coś ważnego powiedzieć o hakerach. Wśród ujawnionych treści włamywacze pozostawili m.in. przetłumaczone w Google Translate na język angielski polskie teksty.
Sprawy techniczne nie mają większego znaczenia dla ludzi, których nazwiska, adresy domowe, mailowe i opisy preferencji seksualnych trafiły do sieci. Amerykańska policja bada przypadki szantażu i kilku samobójstw powiązanych z osobistymi konsekwencjami ataku na stronę Ashley Madison. Poważnym problemem (i podstawą do już pojawiających się, obliczanych na razie na 500 mln dol., pozwów sądowych) było przechowywanie danych wytypowanych do usunięcia przez samych użytkowników na wewnętrznych serwerach firmy, a także przechowywanie adresów IP, z których logowali się użytkownicy.
To właśnie dzięki IP można było łatwo zidentyfikować amerykańskich wysokich urzędników, którzy zabezpieczali się dodatkowo nieoficjalnymi adresami mailowymi. Okazało się, że wśród użytkowników byli jeszcze niedawno m.in. wysoko postawieni doradcy z Białego Domu i Kongresu pracujący przy narodowej administracji, obronności, wymiarze sprawiedliwości, bezpieczeństwie energetycznym, skarbie państwa czy transporcie. Agencja Associated Press zdecydowała się nie ujawniać ich nazwisk, bo nie startowali w wyborach powszechnych i nie popełnili przecież żadnego przestępstwa.
Gorzej wygląda sytuacja korzystających z serwisu prokuratorów stanowych, pracowników Pentagonu, a także jednego hakera i jednego agenta zwalczającego terroryzm, zatrudnionych w Departamencie Bezpieczeństwa Narodowego. Jeżeli chodzi o wojskowych, zdrada małżeńska może być uznana, zgodnie z amerykańskim kodeksem wojskowym, za przestępstwo – zhańbienie munduru.
Nie jest zaskoczeniem obecność wśród ujawnionych użytkowników Ashley Madison fanatyków i religijnych celebrytów. Zwłaszcza od kiedy w zeszłym roku badania sieci dowiodły, że w tzw. amerykańskim Bible Belt (z ang. pas biblijny – potoczna nazwa stanów, w których dominują konserwatywni protestanci) więcej ludzi korzysta ze stron pornograficznych niż w bardziej liberalnych stanach.
Na stronie miał mieć swoje konto na przykład Hamza Tzortis, powiązany z fanatyczną organizacją Islamic Education and Research Academy (Islamska Akademia Edukacji i Badań). Tzortis, działający głównie w Wielkiej Brytanii, w wystąpieniach publicznych nigdy nie stronił od oceny seksualnych zachowań innych. Twierdził, że karą za zdradę powinno być ukamienowanie. Ponieważ z udostępnionych danych wynika, że z jego osobą powiązane są dane z karty bankowej, imię, nazwisko i adres, napisał oświadczenie, w którym w pokrętny sposób tłumaczy, że cała sprawa to spisek, który ma na celu jego zdyskredytowanie.
Źle kojarzone w samych Stanach nazwisko ujawnił portal Gawker. Jego dziennikarze udowodnili, że jednym z zapisanych na portalu był Josh Duggar, zdyskredytowana gwiazda reality show „19 Kids and Counting”. Programu o bardzo konserwatywnej, religijnej i wielodzietnej amerykańskiej rodzinie, który zniknął z anteny amerykańskiej stacji TLC już w maju – po tym, jak wyszło na jaw, że Duggar molestował jako nastolatek swoje młodsze siostry, a jego rodzice nie poinformowali o tym policji. Tuż po ujawnieniu informacji, że zdradza swoją żonę na Ashley Madison, Duggar opublikował oświadczenie, w którym nazwał siebie „największym hipokrytą”. Z udostępnionych danych wynika, że mężczyzna za 250 dol. wykupił pakiet affair guarantee (romans gwarantowany), w ramach którego strona internetowa zapewniała zdradę w ciągu trzech miesięcy lub zwrot pieniędzy. Trudno powiedzieć, czy taki romans w ogóle był możliwy w przypadku strony, na której funkcjonowało 70 tys. botów, które zagadywały 20 mln prawdziwych mężczyzn, by wytworzyć wrażenie swobodnego kontaktu i zachęcić ich do wykupywania dłuższego czasu rozmowy.
Jak zagadywały klientów femboty? Dziennikarka amerykańskiego serwisu Gizmodo Annalee Newitz podała kilkanaście sposobów rozpoczynania rozmowy, m.in.: „how are you?”, „hey there”, „u busy?” czy „anybody home? lol” – później padały konkretniejsze zwierzenia: „Kiedy byłam młodsza, sypiałam z chłopakami moich przyjaciółek. Trudno się pozbyć starych nawyków, ale raczej już nie przespałabym się z ich mężami”.
Newitz oszacowała również, że wśród ponad 5 mln kont założonych w serwisie przez kobiety niektóre mogły być po prostu sztuczne. Avid Life twierdzi, że tak wielu fembotów na stronie nie było. Jednak z wystosowanego kilka lat temu przez byłą pracownicę firmy pozwu o rekompensatę za straty emocjonalne wiadomo, że tworzyła m.in. portugalskojęzyczne boty na rynek południowoamerykański. Może to jakieś wytłumaczenie, dlaczego w Polsce (oprócz dużych miast, gdzie liczba użytkowników przekraczała tysiąc i wśród których przodowała Warszawa z 6 tys. zarejestrowanych w serwisie) Ashley Madison miało również spory procent lokalnych użytkowników w kilku wsiach. 49 osób w Bielu, w Uciechowie – 43, a w miejscowości Sudół – 63. Brzmi to dość niewiarygodnie w kontekście społeczności liczących kilkuset mieszkańców. Ale polskie media doszukiwały się w tym prawd o życiu seksualnym na prowincji.
Sytuację komplikują konta powstałe jako złośliwe żarty współpracowników i te zakładane przez podejrzliwych małżonków. Nie wiadomo, ile ich było. Jak cała sprawa Ashley Madison mogła wyglądać od strony użytkownika, dobrze pokazują artykuły pisane przez dziennikarzy, którzy wcześniej (ze względów czysto zawodowych!) logowali się na stronę, by przepytywać jej użytkowników, i gdy pojawiła się w sieci lista „zdradzających”, odnaleźli na niej swoje nazwiska. „Bałam się tego, co będzie, gdy moje dane pojawią się w sieci” – pisała szczerze w „Guardianie” jedna z nich, Carmen Fishwick.
Na wszystkich, którzy są w takiej sytuacji jak ona, żeruje teraz aplikacja Trustify. Została założona po to, by ułatwić kontakt z prywatnymi detektywami. Po ataku hakerów na serwis Ashley Madison aplikacja podwoiła liczbę użytkowników (w ciągu półtora miesiąca). Dlaczego? Utworzyła dodatkowy serwis umożliwiający przeglądanie listy osób, które korzystały z Ashley Madison. Trustify twierdzi, że wystarczy 67 dol., by wynająć potem zaangażowanego w dokładniejsze śledztwo detektywa. Tak naprawdę to 67 dol. za godzinę – i początek nowych wydatków.
Trustify jest tylko wierzchołkiem góry lodowej, jeżeli chodzi o ciekawe, niezbadane do końca, bo wstydliwe zjawisko wyłudzania pieniędzy od zaangażowanych emocjonalnie ludzi w sieci. I tu należy szukać nauki płynącej z całej afery, zamiast formułować wnioski dotyczące zmiany obyczajów czy współczesnej moralności.