← Alle artikler
Sikkerhet Oppdatert januar

Ashley Madison-hacket: Hva skjedde – og kan det skje igjen?

I juli 2015 stjal hackere data fra 37 millioner brukere av Ashley Madison. Det som fulgte var skilsmisser, utpressing og selvmord. Ti år senere: har bransjen lært noe?

Hva skjedde egentlig?

Ashley Madison markedsførte seg som verdens ledende nettsted for diskrete affærer. Slagordet var "Life is short. Have an affair." Millioner av mennesker registrerte seg i troen på at dataene deres var sikre.

I juli 2015 brøt en hackergruppe kalt "The Impact Team" seg inn i selskapets servere. De krevde at Ashley Madison skulle legges ned, ellers ville de publisere alle brukerdata.

Selskapet nektet. I august 2015 ble dataene lagt ut på internett. Fullstendige navn, e-postadresser, hjemmeadresser, seksuelle preferanser og betalingshistorikk – alt ble offentlig tilgjengelig.

Konsekvensene var katastrofale: Minst to selvmord er direkte knyttet til eksponeringen. Tusenvis av ekteskap ble ødelagt. Offentlige personer og prester ble avslørt. Mange ble utsatt for utpressing i årevis etterpå.

Detaljert tidslinje: Sommeren 2015

Angrepet på Ashley Madison utspilte seg over flere uker, og hvert steg i prosessen avslørte nye sjokkerende detaljer om selskapets praksis.

Juli 2015: The Impact Team brøt seg inn i Avid Life Media (morselskapet til Ashley Madison) sine interne systemer. Hackerne fikk tilgang til brukerdata, interne e-poster, kildekode og forretningsdokumenter. De publiserte et manifest der de krevde at Ashley Madison og søstersiden Established Men ble lagt ned permanent.

20. juli 2015: De første meldingene fra The Impact Team begynte å sirkulere. Hackerne hevdet at Ashley Madisons slettefunksjon var svindel – brukere betalte 19 dollar for å slette profilen sin, men selskapet beholdt alle data. Avid Life Media bekreftet at de hadde blitt rammet av et datainnbrudd, men forsøkte å bagatellisere omfanget.

18. august 2015: Etter at selskapet nektet å etterkomme kravene, publiserte The Impact Team den første datasamlingen – omtrent 10 gigabyte med brukerdata. Denne inkluderte navn, e-postadresser, kredittkortopplysninger, og interne meldinger mellom brukere.

20. august 2015: En andre lekkasje fulgte, denne gangen med 20 gigabyte som inkluderte interne e-poster fra selskapets toppledelse, kildekode, og dokumenter som avslørte systematisk bruk av falske profiler.

Hva ble avslørt i lekkasjene?

Datamengden som ble publisert var enorm, og innholdet avslørte langt mer enn bare brukerdata. Lekkasjene ga innsikt i hvordan en stor datingtjeneste faktisk opererte bak kulissene.

Brukernes personlige data: Omtrent 37 millioner brukerprofiler ble eksponert. For hver bruker ble følgende potensielt tilgjengelig: fullt navn, e-postadresse, hjemmeadresse, fødselsdato, høyde, vekt, seksuelle preferanser og fantasier, og detaljert betalingshistorikk med kredittkortinformasjon.

Interne dokumenter: E-poster fra selskapets ledelse avslørte at Ashley Madison aktivt drev med å opprette falske kvinneprofiler – såkalte "engagers" – for å holde mannlige brukere interesserte og betalende. Interne dokumenter anslo at over 70 000 falske profiler var aktive på tjenesten.

Slettefunksjonen var falsk: Selskapet tok 19 dollar for en "full delete"-funksjon som lovet å fjerne alle brukerdata permanent. Lekkasjene viste at dataene i virkeligheten aldri ble slettet. Kredittkortinformasjon og persondata ble beholdt selv etter at brukere hadde betalt for sletting. Dette er et problem som fortsatt finnes på mange datingsider i dag, noe vi har skrevet om i artikkelen om hvorfor det er nesten umulig å slette profilen din.

Konsekvensene: Ødelagte liv

Ettervirkningene av Ashley Madison-hacket var blant de mest alvorlige i historien for en sivil datalekkasje. Konsekvensene strakte seg langt utover digital ulempe – de ødela liv.

Skilsmisser og samlivsbrudd: Tusenvis av ekteskap brøt sammen da partnere oppdaget at den andre var registrert på Ashley Madison. Advokater rapporterte om en dramatisk økning i skilsmissesaker i månedene etter lekkasjen. Søkbare databaser ble opprettet der hvem som helst kunne sjekke om en e-postadresse var registrert.

Selvmord og psykisk helse: Minst to selvmord er direkte knyttet til eksponeringen. En pastor i USA tok sitt eget liv etter at hans navn dukket opp i databasen. Psykologer rapporterte om en bølge av klienter med angst, depresjon og skamfølelse knyttet til lekkasjen – også blant brukere som hevdet de aldri hadde vært utro, men hadde registrert seg av nysgjerrighet.

Utpressing i stor skala: Kriminelle grupper sendte millioner av e-poster til eksponerte brukere med krav om betaling for å holde informasjonen skjult. Mange betalte betydelige summer i frykt for at familie, venner eller arbeidsgivere skulle få vite om registreringen. Denne utpressingen fortsatte i årevis etter selve lekkasjen.

Karrierer ødelagt: Offentlige personer, politikere, militært personell og prester ble identifisert i databasen. Flere mistet jobbene sine eller ble tvunget til å trekke seg fra sine stillinger. Selv brukere som aldri hadde møtt noen gjennom tjenesten, ble stigmatisert.

Hva avslørte hacket om sikkerheten?

Etterforskningen avslørte sjokkerende dårlig sikkerhet hos Ashley Madison:

  • Passord var dårlig kryptert – Millioner av passord ble knekt på dager
  • Slettefunksjonen var falsk – Selskapet tok 19 dollar for å "slette" profiler, men beholdt alle data
  • E-poster ble ikke verifisert – Hvem som helst kunne registrere andres e-postadresser
  • Intern tilgang var vid åpen – Ansatte kunne se alt

Sikkerhetsforsker som analyserte de lekkede passordene fant at selskapet brukte bcrypt-hashing for de nyeste passordene, men hadde en eldre database med MD5-hashede passord som kunne knekkes på minutter. Mange brukere hadde dessuten gjenbrukt passord fra andre tjenester, noe som forverret skadeomfanget betraktelig.

Et annet kritisk problem var at ansatte og administratorer hadde full tilgang til alle brukerdata uten kryptering. Meldinger mellom brukere lå lagret i klartekst, bilder var tilgjengelige uten beskyttelse, og interne verktøy ga vid tilgang til sensitiv informasjon.

Den juridiske etterdønningen

Ashley Madison-hacket utløste en av de største juridiske prosessene knyttet til datasikkerhet i datingbransjen.

I 2016 ble Avid Life Media (som senere endret navn til Ruby Corp) saksøkt av den amerikanske føderale handelskommisjonen (FTC). Selskapet ble også rammet av et gruppesøksmål på vegne av eksponerte brukere. I 2017 gikk selskapet med på et forlik på 11,2 millioner dollar til berørte brukere – en forsvinnende liten sum sammenlignet med skadene.

Kanadiske myndigheter gjennomførte sin egen granskning og konkluderte med at Ashley Madison hadde brutt kanadisk personvernlovgivning ved å ikke beskytte brukerdata tilstrekkelig. Selskapet ble pålagt å gjennomføre omfattende sikkerhetsoppgraderinger.

Ingen ble noensinne straffeforfulgt for selve hackingen. The Impact Team har aldri blitt identifisert, til tross for etterforskning fra politimyndigheter i flere land.

Ashley Madisons gjenoppbygning

Etter lekkasjen skiftet selskapet navn fra Avid Life Media til Ruby Corp og iverksatte en rekke tiltak for å gjenoppbygge tilliten. Sikkerhetsinfrastrukturen ble oppgradert, det ble ansatt dedikert sikkerhetspersonell, og den falske slettefunksjonen ble erstattet med en reell slettemekanisme.

Overraskende nok klarte Ashley Madison å overleve skandalen. Selskapet hevdet at brukerantallet faktisk økte i årene etter lekkasjen, og at over 60 millioner kontoer var registrert innen 2020. Kritikere har imidlertid stilt spørsmål ved disse tallene og påpekt at mange kontoer er inaktive eller opprettet av nysgjerrige etter mediedekningen.

Saken reiser et ubehagelig spørsmål: Hvis et selskap kan overleve den verste datalekkasjen i datinghistorien, hvilke insentiver har egentlig bransjen til å ta sikkerhet alvorlig? Det er et tema vi utforsker nærmere i artikkelen om datingbransjens forretningsmodell.

Kan dette skje med andre datingsider?

Det korte svaret er: ja. Og det har skjedd – flere ganger.

I 2016 ble AdultFriendFinder hacket – 412 millioner kontoer eksponert. I 2020 ble data fra CAM4 lekket – 10,88 milliarder poster. De fleste datingsider har lignende sårbarheter som Ashley Madison hadde.

Selv de store, etablerte aktørene er ikke immune. Bumble hadde en sikkerhetsbrist i 2020 som potensielt eksponerte informasjon for hele brukerbasen. OkCupid ble rammet av en sårbarhet som ga angripere tilgang til brukerprofiler. Og Coffee Meets Bagel bekreftet et datainnbrudd i 2019 der e-postadresser ble stjålet.

Det vi ikke vet: Mange datainnbrudd oppdages aldri, eller holdes skjult. Når en datingside krever e-post og betalingskort, lagres denne informasjonen et sted. Et sted som kan hackes.

Hva betyr dette for norske brukere?

Norge er et lite land der alle kjenner alle. En datalekkasje fra en norsk eller internasjonal datingtjeneste kan få spesielt alvorlige konsekvenser i et samfunn der anonymitet er vanskelig å opprettholde.

Norske brukere var også registrert på Ashley Madison. Selv om det eksakte antallet aldri er blitt offentliggjort, viste analyser at tusenvis av norske e-postadresser fantes i databasen. Noen av disse var offentlige e-postadresser knyttet til arbeidsgivere, noe som skapte ytterligere komplikasjoner.

I henhold til GDPR (personvernforordningen), som trådte i kraft i 2018, har norske brukere i dag sterkere rettigheter knyttet til databeskyttelse. Datingselskaper som opererer i Norge er forpliktet til å beskytte persondata, gi brukere rett til sletting, og rapportere datainnbrudd til Datatilsynet innen 72 timer. Men lovgivning alene forhindrer ikke hackerangrep – og mange av de populære datingtjenestene er basert utenfor EU/EØS-området, noe som gjør håndhevingen vanskelig.

Hva har bransjen lært?

Dessverre: overraskende lite.

De fleste datingsider krever fortsatt e-postadresse og betalingsinformasjon. De fleste bruker fortsatt ikke ende-til-ende-kryptering på meldinger. Og de fleste beholder data lenge etter at brukere ber om sletting.

Grunnproblemet er forretningsmodellen: Datingsidene tjener penger på å samle inn og beholde data – ikke på å beskytte den. Brukerdata har kommersiell verdi for markedsføring, analyse og videresalg. Jo mer data som lagres, desto mer verdifull er brukerbasen – og desto mer står på spill ved et eventuelt innbrudd.

Noen fremskritt har likevel skjedd. Enkelte tjenester har innført bedre kryptering av passord, tofaktorautentisering og strengere tilgangskontroll for ansatte. Men fundamentale problemer gjenstår: Så lenge tjenestene krever identifiserende opplysninger for registrering, vil det alltid finnes en database som er verdt å angripe.

Hvordan kan du beskytte deg?

Hvis du vurderer å bruke en datingtjeneste for diskrete møter, bør du stille deg selv noen spørsmål:

  • Krever tjenesten e-postadresse? (Kan spores tilbake til deg)
  • Krever den telefonnummer? (Direkte identifikasjon)
  • Krever den betalingskort? (Vises på kontoutskrift, lagres på servere)
  • Er meldingene ende-til-ende-kryptert? (Hvis ikke, kan ansatte og hackere lese alt)
  • Kan du faktisk slette alle data? (De fleste steder kan du ikke)

Den eneste måten å være virkelig sikker på er å ikke gi fra seg identifiserende informasjon i det hele tatt. Ingen e-post, ingen telefon, ingen betalingskort.

Praktiske sikkerhetstips

Hvis du likevel velger å bruke en datingtjeneste som krever registrering, finnes det tiltak som kan redusere risikoen:

  • Bruk en dedikert e-postadresse – Opprett en e-postkonto som ikke er knyttet til ditt virkelige navn eller andre tjenester
  • Unngå gjenbruk av passord – Bruk et unikt, sterkt passord som ikke brukes andre steder
  • Bruk et virtuelt kredittkort – Noen banker tilbyr virtuelle kortnumre som kan brukes til enkeltformål
  • Del aldri identifiserende bilder – Bilder med gjenkjennelige bakgrunner, uniformer eller andre særtrekk kan avsløre deg
  • Vær forsiktig med detaljene – Kombinasjonen av yrke, alder og bosted kan være nok til å identifisere deg i et lite land som Norge
  • Sjekk personvernreglene – Les hva selskapet faktisk gjør med dataene dine, og hvor lenge de beholder dem

Les gjerne vår artikkel om hva som kjennetegner en sikker datingtjeneste for en mer detaljert gjennomgang av hva du bør se etter.

Det finnes alternativer

Noen nyere tjenester er bygget med sikkerhet som utgangspunkt – der du ikke trenger å oppgi personlig informasjon i det hele tatt.

Prøv nå

Lær av historien

Ashley Madison-hacket viste at "diskret" og "anonym" ofte bare er markedsføring. Bak kulissene lagres alt – navn, adresser, meldinger, preferanser – på servere som kan kompromitteres.

Saken har blitt et referansepunkt for hele datingbransjen og for alle som diskuterer digitalt personvern. Den viste at konsekvensene av dårlig datasikkerhet ikke bare er økonomiske – de er menneskelige. Familier ble ødelagt, karrierer knust, og i ytterste konsekvens gikk liv tapt.

Ti år senere finnes det bedre alternativer. Men du må være kritisk og stille spørsmål før du gir fra deg informasjon som kan ødelegge livet ditt hvis den lekker. Det viktigste spørsmålet er ikke om en tjeneste markedsfører seg som "diskret" – men hva som faktisk skjer med dataene dine bak kulissene.