<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Sep 11, 2015 at 1:16 AM, Ray Dillinger <span dir="ltr"><<a href="mailto:bear@sonic.net" target="_blank">bear@sonic.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><br>
<br>
On 09/10/2015 09:42 PM, Tony Arcieri wrote:<br>
> tl;dr: they cracked MD5 digests instead. The MD5 version was downcased.<br>
> Once recovering the downcased password, they recovered the case sensitive<br>
> version by brute forcing all possible case variants against the bcrypt<br>
> digests.<br>
><br>
<br>
</div></div>They've cracked 11.2 million accounts "so far".  I'm completely stunned<br>
that Ashley Madison had 11.2 million accounts in the first place, and<br>
that counts only those who had signed up *before* they switched to more<br>
secure methodology.  That would be approximately one for every 30<br>
people in the US, and Ghu alone knows how many new accounts since<br>
then and how many more insecure accounts remain to be cracked.  I<br>
just didn't imagine that such a skeevy "service" would attract so<br>
many clients.<br>
<br>
I guess I haven't been reading the news closely enough; I've been<br>
treating it as 'ho hum more of the same.' But I guess it has the<br>
scale to be significant after all.<br>
<br>
                        Bear<br><br></blockquote><div><br></div><div>A large number of the users likely had multiple accounts. The way sharks work is that first they try chatting a woman up with approach X till they are rejected. At that point they have invested some time in finding out about them and have as collateral a lot of personal details. So on approach 2 they can refine their strategy, oh I am also into ultimate pogo-frisbee what a coincidence!</div><div><br></div><div>Welcome to fin-land.</div><div><br></div><div>Reading the forums, it looked like men were creating female accounts so they could see what approaches other men were taking.</div><div><br></div><div><br></div><div>Thing is, you only need to convert 3% of 30 million accounts to have a million paid accounts. I suspect most people signed up for the lowest tier and realized it was a scam. That is still $60 million.</div><div><br></div></div></div></div>