Det här tyska ordet jag älskar: Schadenfreude. Det är ett av de konstiga orden som inte riktigt har en engelsk översättning, men det betyder ungefär att man tar glädje åt andras olycka. Det beskriver i princip hur jag känner till vad som hänt nyligen med Ashley Madison.
Ashley Madison, för de som inte är i vet, är en datingsida som fokuserar på att underlätta utomäktenskapliga angelägenheter. Det kan ses som Facebook av philandering, med över 37 miljoner registrerade, äktenskapsliga användare. Såsom ofta är fallet med datingsidor var den överväldigande majoriteten av sina abonnenter (mellan 90 och 95 procent) män.
Här är där skadenfreude sparkar in. De blev nyligen hackade av Impact Team - ett annat okänt band av hackare - som hotade att läcka hela sin databas, om inte fuskwebbplatsen (och följeslagarna Established Men and Cougar Life) stängdes.
Avid Life Media, som äger Ashley Madison, vägrade att följa. Tidigare i morse dumpades 9 GB data från webbplatsen till en Tor Darknet-webbplats. Den innehöll allt . Inte bara användarnamn och e-post, men även interna e-postmeddelanden, företagsdokument, sexuella preferenser, biografiska data och även GPS-platser. Ouch .
Går igenom en dumpning ... Det här var inte en databashack. Detta var fullskala pwnage av hela företaget. Domain hashes, interna dokument i massor.
- Dave Kennedy (ReL1K) (@HackingDave) 19 augusti 2015
Om du blev upptagen i Ashley Madison läckan, låt mig uttrycka en uppriktig och Nelson Muntz-liknande haw haw . Jag måste erkänna, jag är inte hemskt sympatisk. Men fortfarande, som säkerhetsskribent, känner jag mig skyldig att berätta några saker.
Ändra dina lösenord
Ashley Madison var noggrant och helt ägd. Det går inte att undkomma det. Men jag borde ge dem kredit för att ha några ganska förnuftiga säkerhetsförfaranden.
Speciellt lösenord var obfuscated med hjälp av bcrypt; en av de säkraste, one-way hashing-algoritmerna. I synnerhet var det trevligt att se att de inte lagrade lösenord i ren text eller den nästan oanvändbara MD5 hashing-algoritmen. Vad allt detta MD5 Hash-saker faktiskt betyder [Teknologi förklaras] Vad Allt detta MD5 Hash-saker faktiskt betyder [Teknologi förklaras] Här är en full nedläggning av MD5, hashing och en liten översikt över datorer och kryptografi. Läs mer .
Mängden ren beräkningskraft som krävs för att bryta ett bcrypt-lösenord är enormt. Det betyder att om du använde ett säkert, komplext lösenord, är oddsen för att den dekrypteras relativt slanka. Men om du använder ett vanligt eller svagt lösenord, bör du förvänta dig att ditt lösenord snart blir offentlig kunskap.
Hur som helst, skulle du rekommenderas att ändra dina lösenord på alla webbplatser där du använde ditt Ashley Madison lösenord och aldrig använda det igen.
Tänk om kreditkort
Inkluderat i datadumpen var register över finansiella transaktioner som går tillbaka till 2007. Dessa inkluderade namn, gatuadresser, e-postmeddelanden, betalade belopp, men inte hela kreditkortsnummer. Var och en av dessa poster innehåller ett fyrsiffrig nummer som i stor utsträckning antas vara antingen en transaktionskod eller de sista fyra kreditkortsnumren.
Detta i sig är inte så mycket av ett problem. Det finns inte mycket du kan göra med de sista fyra siffrorna i ett kreditkort. Men vissa företag tillåter dig att verifiera din identitet med den.
Du kommer kanske ihåg i 2012 när Wired-kolumnisten Mat Honan hade hela sitt digitala liv utlovat. Allt från hans Apple-post till hans Google-konton. Även hans Macbook och iPhone avlägsnades på distans.
Detta var möjligt eftersom Apple tillät personer att autentisera med endast faktureringsadressen och de sista fyra siffrorna i ett registrerat kreditkort.
Det kan vara lite paranoid. Helvete, jag har ofta anklagats för att vara sådan. Men om jag blev fast i Ashley Madison-hacket, skulle jag omedelbart avbryta mitt kort och avbryta det från någon av mina online-konton.
Förvänta sig att bli straffad
Här vill jag verkligen stressa något. Om du var upptagen i Ashley Madison-hacket bör du inse att privata, intima detaljer om ditt liv och dina sexuella preferenser har blivit offentliga. Det som var en gång personligt är nu öppet för världen att se. Det är bara något du måste hantera.
Det är värt att påpeka att när datingwebbplatser har hackats tidigare, ledde det till att användarna blev kraftigt och grundligt trolled och deras digitala liv vändes upp och ner.
När 4chan denizens hackade ett icke-namnget kristen socialt nätverk under 2009 kunde de göra av med e-post och lösenord. Dessa användes sedan för att få tillgång till Facebook-konton, där hackarna sedan postade obscena, rasistiska eller oförskämda meddelanden för att skämma bort ägarna.
Jag instämde inte med det då, och jag skulle inte hålla med det nu. Med detta sagt skulle det inte vara förvånat om något liknande hände den här gången.
Enligt CSO Online hittades cirka 14 000 amerikanska regeringar och militära e-postmeddelanden i dumpningen. Brittiska Daily The Telegraph har sagt att det fanns poäng av .gov.uk e-post. Om du var en av dem, bli inte förvånad om du kommer i varmt vatten med dina arbetsgivare.
Vid nu är oddsen ganska höga att det finns några tabloidhackar som siktar genom den läckta dumpningen, förmodligen med hjälp av någon som känner till SQL. De ska leta efter kändisar och politiker. Om du är en offentlig figur och använt Ashley Madison, kan du ganska mycket förvänta dig att bli grundligt och offentligt skämd.
Även, som vi nyligen såg med Gawker Vad i världen är upp med Gawker? Vad i världen är upp med Gawker? Gawker.com, den populära gossipbloggen, slutade publicera någonting i två dagar efter uppsägningen av Tommy Craggs och Max Read, över borttagandet av en artikel som skrevs av Jordan Sargent förra veckan. Läs mer, det är nog inte en bra sak.
Varje mediautlopp som kammar genom Ashley Madison-dumpningen bör pausa en stund och tänka på Gawker.
- Aaron Sankin (@ASankin) 18 augusti 2015
Som någon som har läst Jon Ronsons storslagna så att du har blivit offentligt skamad (eller, för den delen, tittade på hans senaste TED-prat) vet, vi delar alla en otrolig kapacitet för kollektiv outrage och offentlig shaming.
Börja göra ändringar
Om du var på Ashley Madison, är det säkert att säga att du förmodligen är lite varmvatten hemma. Det är dåliga nyheter för dig, men bra nyheter för några andra personer:
Ashley Madison hack kommer att vara riktigt dåligt för många människor. Bra för skilsmässa advokater och blomsterhandlare men!
- Matthew Hughes (@matthewhughes) 19 augusti 2015
För det första bör du be om ursäkt. Om din signifikanta andra inte talar till dig, kanske skicka henne en mailad ursäkt. Apologins konst: Hur man säger förlåt med en e-post (och menar det). Apologins konst: Hur man säger förlåt med en e-post Menar det) Vi rysar alla, så ber om förlåtelse är en viktig färdighet att ha. Apologin e-post är inte lätt. Så här säger du förlåt med ett mail, medan du fortfarande är äkta. Läs mer . Kanske kan du ta ett blad från Robin Thickes bok och skriva henne ett helt album.
Blommor är också en säker satsning. Du kommer nog inte att kunna ha råd med 1-800 Flowers Ashley Madison-paketet, men du kan fortfarande skicka en tankeväckande bukett och kort från din iPhone Glömt en händelse? Skicka ett kort eller gåva från din iPhone Glömt ett evenemang? Skicka ett kort eller en present från din iPhone I digitalåldern har du mycket mindre ursäkter för att glömma en viktig händelse - men när du gör det har du också mycket fler alternativ för att klara det! Läs mer .
Om det inte fungerar och du måste flytta ut ur huset för ett par dagar, kolla in dessa 10 sökmotorer för hotellsökande Sökmotorerna för bästa hotell för att fånga bra erbjudanden när du reser de bästa hotellmotorerna för att fånga bra erbjudanden när Du reser Vi satte oss ner för att leta efter den bästa hotellbokningsupplevelsen online. De som gör det billigare, enklare och säkrare att få ett rum. Här är vår slutliga topp 10. Läs mer.
Det kommer att bli Messier
I skrivande stund har Ashley Madison dumpningen varit online i cirka 12 timmar. Det är fortfarande mycket tidiga dagar. Jag förutspår att vi i veckan kommer att se mycket mer allmän skam. Många fler äktenskap slutade och karriärerna störde. Det kommer att bli rörigt, faktiskt.
Redan har vi sett webbplatser som underlättar åtkomsten till de läckta data. Det finns ashmadlookup.com, som helt enkelt bekräftar om ett e-postmeddelande var i databasen.
Det finns också hasibeenpwned.com, som tar en något annorlunda tillvägagångssätt. Här är data endast tillgängliga för dem som har verifierat sin e-postadress med dem på grund av dataens otroligt känsliga natur.
Så, vilka råd har Impact Team för dig?
"Hitta dig själv här? Det var ALM som misslyckades och ljög till dig. Förfölja dem och göra anspråk på skadestånd. Fortsätt sedan med ditt liv. Lär dig din lektion och gör förändringar. Skämsamt nu, men du kommer över det. "
Du kan inte argumentera med det. Ashley Madison misslyckades systematiskt med att skydda sina kunder. Jag tvivlar inte på att de kommer att finna sig i domstol i kommande månader.
Över till dig
Var du påverkad av Ashley Madison-överträdelsen? Känner du någon som var? Vill du prata om det? Släpp mig en kommentar nedan, och vi chattar.
Fotokrediter: Nycklar på tangentbord (Intel Free Press), Hur många kreditkort ska jag ha? (Mighty Travels)