Parte de una serie sobre |
Piratería informática |
---|
En julio de 2015, una persona o grupo desconocido que se autodenominaba "The Impact Team" anunció que había robado los datos de los usuarios de Ashley Madison , un sitio web comercial que se promocionaba como un sitio que facilitaba las relaciones extramatrimoniales . Los piratas informáticos copiaron información personal sobre la base de usuarios del sitio y amenazaron con revelar los nombres y la información de identificación personal de los usuarios si Ashley Madison no cerraba de inmediato. Como prueba de la gravedad de la amenaza, inicialmente se publicó la información personal de más de 2500 usuarios. La empresa inicialmente negó que sus registros fueran inseguros, pero continuó operando.
Debido a la falta de seguridad adecuada del sitio y a la práctica de no borrar la información personal de los usuarios de su base de datos –incluyendo nombres reales, direcciones residenciales, historial de búsqueda y registros de transacciones con tarjetas de crédito– muchos usuarios temían ser avergonzados públicamente. [1]
Los días 18 y 20 de agosto se hicieron públicos más de 60 gigabytes de datos de la empresa, incluidos datos de los usuarios. Los datos publicados incluían incluso información personal sobre los usuarios que habían pagado al sitio para borrar su información personal, ya que la empresa no había eliminado los datos que afirmaban haber borrado.
El equipo Impact anunció el ataque el 19 de julio de 2015 y amenazó con exponer las identidades de los usuarios de Ashley Madison si su empresa matriz, Avid Life Media, no cerraba Ashley Madison y su sitio hermano, "Established Men". [2]
El 20 de julio de 2015, el sitio web Ashley Madison publicó tres comunicados en su sección "Medios" en los que se abordaba la infracción. La cuenta de Twitter del sitio web, normalmente muy concurrida , guardó silencio, salvo por los comunicados de prensa. [3] Uno de los comunicados decía:
En este momento, hemos podido proteger nuestros sitios y cerrar los puntos de acceso no autorizados. Estamos trabajando con las fuerzas del orden, que están investigando este acto delictivo. Todas las partes responsables de este acto de ciberterrorismo serán responsables. Utilizando la Ley de Derechos de Autor del Milenio Digital (DMCA), nuestro equipo ha eliminado con éxito las publicaciones relacionadas con este incidente, así como toda la información de identificación personal (PII) sobre nuestros usuarios publicada en línea. [4]
El sitio también ofreció renunciar al cargo por eliminación de cuenta.
El 21 de julio, el «Equipo Impact» publicó más de 2.500 registros de clientes, pero la empresa negó inicialmente la afirmación de que su base de datos principal no era segura y había sido pirateada. [5] Sin embargo, el 18 de agosto se publicaron más de 60 gigabytes de datos adicionales y se confirmó que eran válidos. [6] La información se publicó en BitTorrent en forma de un archivo comprimido de 10 gigabytes; el enlace a él se publicó en un sitio web oscuro al que solo se puede acceder a través de la red anónima Tor . [7] Los datos estaban firmados criptográficamente [8] con una clave PGP . En su mensaje, el grupo culpó a Avid Life Media, acusando a la empresa de prácticas engañosas: «Hemos explicado el fraude, el engaño y la estupidez de ALM y sus miembros. Ahora todo el mundo puede ver sus datos... Lástima para ALM, prometisteis confidencialidad pero no la entregasteis». [9]
En respuesta, Avid Life Media publicó un comunicado en el que afirmaba que la compañía estaba trabajando con las autoridades para investigar y dijo que los piratas informáticos no eran " hacktivistas " sino criminales. [10] Un segundo volcado de datos, más extenso, se produjo el 20 de agosto de 2015, cuyo archivo más grande comprendía 12,7 gigabytes de correos electrónicos corporativos , incluidos los de Noel Biderman , el director ejecutivo de Avid Life Media. [11]
En julio de 2017, Avid Life Media (rebautizada como Ruby Corporation) acordó resolver dos docenas de demandas derivadas de la violación por 11,2 millones de dólares. [12] [13]
Ninguna de las cuentas del sitio web necesita verificación de correo electrónico para crear un perfil, lo que significa que la gente suele crear perfiles con direcciones de correo electrónico falsas. La empresa de Ashley Madison exigía al propietario de la cuenta de correo electrónico que pagara dinero para eliminar el perfil, lo que impedía que las personas que tenían cuentas creadas sin su consentimiento (como broma o correo electrónico mal escrito) las eliminaran sin pagar. [14] Los piratas informáticos afirman que Avid Life Media recibió 1,7 millones de dólares al año de personas que pagaron para cerrar los perfiles de usuario creados en el sitio. La empresa afirmó falsamente que pagarles "eliminaría por completo" los perfiles, lo que el ataque demostró que no era cierto. [14]
Josh Duggar , un hombre de 27 años que se había hecho famoso como miembro adolescente de una familia cristiana conservadora que aparecía en un reality show llamado 19 Kids and Counting , fue un usuario destacado de Ashley Madison cuyos datos fueron vulnerados. Los datos publicados incluían registros de casi 1.000 dólares de transacciones en una cuenta de tarjeta de crédito a su nombre. La noticia de la publicación de los datos agravó sus problemas con las revelaciones de principios de ese año sobre los informes policiales sobre su mala conducta sexual; el 20 de agosto, admitió que había sido infiel a su esposa. [15] [16] La filtración de datos se produjo rápidamente tras la publicación de un informe policial anterior en el que se alegaba que había manoseado a cinco niñas menores de edad, incluidas algunas de sus propias hermanas. El 25 de agosto, se internó en un centro de rehabilitación. [17] [18] [19]
Tras el hackeo, las comunidades de vigilantes de Internet comenzaron a peinar para encontrar individuos famosos a quienes planeaban humillar públicamente . [20] France24 informó que 1.200 direcciones de correo electrónico de Arabia Saudita " .sa " estaban en la base de datos filtrada, que eran aún más extorsionables ya que el adulterio se castiga con la muerte en Arabia Saudita. [21] Varios miles de direcciones de correo electrónico estadounidenses .mil y .gov estaban registradas en el sitio. [22] [23] [24] En los días posteriores a la violación, los extorsionadores comenzaron a apuntar a personas cuyos datos estaban incluidos en la filtración, intentando estafarles más de 200 dólares estadounidenses en Bitcoins . [25] [26] [27] Una empresa comenzó a ofrecer un "motor de búsqueda" donde las personas podían escribir direcciones de correo electrónico de colegas o de su cónyuge en el sitio web, y si la dirección de correo electrónico estaba en la filtración de la base de datos, entonces la empresa les enviaría cartas amenazando con que sus datos serían expuestos a menos que pagaran dinero a la empresa. [28] [29]
Varios investigadores de seguridad y activistas de la privacidad en Internet debatieron sobre la ética mediática de los periodistas que informan sobre los detalles de los datos, como los nombres de los usuarios que se revelaron como miembros. [20] [30] [31] [32] Varios comentaristas compararon el hackeo con la pérdida de privacidad durante el hackeo de fotos de celebridades de 2014. [ 33] [34]
Los psicólogos clínicos argumentaron que tratar una infidelidad de una manera particularmente pública aumenta el dolor para los cónyuges y los hijos. [35] Carolyn Gregoire sostuvo que "las redes sociales han creado una cultura agresiva de humillación pública en la que los individuos se encargan de infligir daño psicológico" y que, en la mayoría de los casos, "el castigo va más allá del alcance del delito". [35] Graham Cluley sostuvo que las consecuencias psicológicas para las personas avergonzadas podrían ser inmensas y que sería posible que algunas fueran intimidadas hasta el suicidio. [36] [37] Charles J. Orlando, que se había unido al sitio para realizar una investigación sobre las mujeres que engañan, escribió sobre su preocupación por los cónyuges e hijos de las infieles descubiertas , diciendo que "la multitud que es Internet está más que dispuesta a servir como juez, jurado y verdugo" y que los miembros del sitio no merecían "una paliza en la plaza del pueblo virtual con millones de espectadores". [38]
El 24 de agosto de 2015, la policía de Toronto anunció que dos suicidios no confirmados habían sido vinculados a la filtración de datos, además de "informes de crímenes de odio relacionados con el hackeo". [39] [40] Informes no confirmados dicen que un hombre en los EE. UU. murió por suicidio. [28] Al menos un suicidio, que anteriormente estaba vinculado a Ashley Madison, desde entonces se ha informado que se debió a "estrés completamente relacionado con problemas en el trabajo que no tenían conexión con la filtración de datos". [41] El mismo día, un pastor y profesor del Seminario Teológico Bautista de Nueva Orleans se suicidó citando la filtración que había ocurrido seis días antes. [42]
Los usuarios cuyos datos se filtraron presentaron una demanda colectiva por 567 millones de dólares contra Avid Dating Life y Avid Media, los propietarios de Ashley Madison, a través de los bufetes de abogados canadienses Charney Lawyers y Sutts, Strosberg LLP. [43] En julio de 2017, el propietario de Ruby Corp. anunció que la empresa resolvería la demanda por 11,2 millones de dólares. [44] En una entrevista de 2019, el director de estrategia de Ashley Madison, Paul Keable, confirmó la instalación de funciones de seguridad como la verificación de dos factores, el cumplimiento de PCI y la navegación totalmente cifrada como consecuencia del ataque de los piratas informáticos de 2015. [45]
En 2024, Netflix lanzó Ashley Madison: Sex, Lies & Scandal , una serie documental de tres partes sobre el incidente. [46]
Annalee Newitz , editora en jefe de Gizmodo , analizó los datos filtrados. [47] Inicialmente descubrieron que solo aproximadamente 12.000 (0,2%) de los 5,5 millones de cuentas femeninas registradas se usaban regularmente. [48] [49] La gran mayoría de las cuentas se habían usado solo una vez, el día en que se registraron. Newitz también descubrió que muchas cuentas de mujeres se crearon desde la misma dirección IP, lo que sugiere que había muchas cuentas falsas. Descubrieron que las mujeres revisaban los mensajes de correo electrónico con muy poca frecuencia: cada vez que una mujer revisaba su correo electrónico, 13.585 hombres revisaban el suyo. Solo 9.700 de los 5 millones de cuentas femeninas habían respondido alguna vez a un mensaje, en comparación con los 5,9 millones de hombres que harían lo mismo. Concluyeron: "Las cuentas de las mujeres muestran tan poca actividad que bien podrían no estar allí". [48] En un artículo posterior publicado la semana siguiente, Newitz reconoció que habían "malinterpretado la evidencia" de su artículo anterior y que su conclusión de que había pocas mujeres activas en el sitio se había basado en datos que registraban las actividades de los "bots" al contactar a los miembros. Newitz confirmó que Ashley Madison había creado más de 70.000 bots femeninos para enviar millones de mensajes falsos a usuarios masculinos. Aun así, señalan que "no tenemos absolutamente ningún dato que registre la actividad humana en la base de datos de Ashley Madison del Impact Team. Todo lo que podemos ver es cuándo los humanos falsos contactaron a los reales". Señalaron que el sitio parecía mantener un registro del contacto entre humanos, pero que el Impact Team no había publicado estos datos. [50]
Las contraseñas del sitio web en vivo se codificaron mediante el algoritmo bcrypt . [51] [52] Un analista de seguridad que utilizó la herramienta de recuperación de contraseñas Hashcat con un diccionario basado en las contraseñas de RockYou descubrió que entre las 4000 contraseñas que eran las más fáciles de descifrar, "123456" y "contraseña" eran las más utilizadas en el sitio web en vivo. Un análisis de contraseñas antiguas en una versión archivada mostró que "123456" y "contraseña" eran las más utilizadas. [53] Debido a un error de diseño en el que las contraseñas también se codificaron por separado con el algoritmo inseguro MD5 , finalmente se descifraron 11 millones de contraseñas. [54]
Si bien reconoció que algunos hombres habían detectado la artimaña, la redactora Claire Brownell del Financial Post sugirió que si solo se llevaran a cabo unas pocas interacciones, los chatbots que imitaban a las mujeres y que habían engañado a muchos hombres para que compraran cuentas especiales podrían pasar la prueba de Turing . [55]