Cibercriminales han publicado información personal y otros datos robados de Ashley Madison en la dark web, un mes después del ataque al sitio de citas extramatrimoniales que puso en peligro 37 millones de cuentas.
Varios portales de noticias de reputación, como Wired, The Guardian y la BBC, reportaron que los datos sensibles de los usuarios de este servicio autodenominado "el más famoso en infidelidad" están ahora disponibles online.
Los individuos detrás de ataque, conocidos como Impact Team, parecen haber cumplido con su amenaza después de todo. Se dice que cerca de 10 gigabytes de datos son ahora accesibles, aunque solo a través de navegadores cifrados es posible obtener esta información.
El grupo había afirmado en julio que los datos de los usuarios, incluyendo nombres, direcciones de correo electrónico, números de teléfono móvil e información de tarjetas de crédito serían publicados en su totalidad si Ashley Madison y su sitio web asociado Established Men no eran puestos fuera de línea permanentemente.
Como demostración de sus intenciones, publicaron 40 megabytes de datos en ese entonces, entre los que había detalles de tarjetas de crédito y documentos internos pertenecientes a Ashley Madison.La compañía basada en Toronto Avid Life Media, dueña de ambos sitios, se negó a ceder ante la presión de Impact Team. Al enterarse de que más datos robados habían sido publicados ayer, dijo en un comunicado:
"Este hecho no es un acto de hacktivismo, es un acto criminal. Es una acción ilegal contra los miembros individuales de AshleyMadison.com, así como cualquier persona de libre pensamiento que elija participar en actividades totalmente legales en línea.
El criminal, o criminales, involucrados en este acto se han autodenominado jueces morales, jurado y ejecutores, viéndose en condiciones de imponer una idea personal de virtud en toda la sociedad".
Millones de usuarios preocupados
No hace falta decir que, primero el ataque y luego la publicación de datos robados de Ashley Madison han dejado a muchos miembros preocupados. Muchos se habían registrado confiados de que sus asuntos extramatrimoniales estarian resguardados bajo llave; después de todo, bajo el lema "La vida es corta. Ten una aventura", se jacta de ofrecer "privacidad y discreción máxima".
En respuesta a las preocupaciones de los usuarios, Ashley Madison dijo que ofrecería a sus miembros una opción de borrado completo, por la cual normalmente cobra 15 libras esterlinas. Impact Team aseguró que esto es "una total mentira".
Esto ha sido negado rotundamente por el sitio, el cual afirmó en el momento del ataque:
"Contrario a los reportes de los medios, y basados en acusaciones publicadas por un cibercriminal, la opción ofrecida por AshleyMadison.com de hecho remueve toda la información relacionada al perfil de un miembro y la actividad de sus comunicaciones.
El proceso implica un borrado completo del perfil del usuario que lo solicite, incluyendo la eliminación de las fotos publicadas y todos los mensajes enviados a las casillas de otros usuarios del sistema".
El área gris
Mientras muchos individuos están debidamente preocupados de que su información personal quede expuesta, otros, sin saberlo, podrían encontrarse embrollados en el asunto de la brecha en Ashley Madison.
Por ejemplo, como explicó el especialista en seguridad Graham Cluley, solo porque una dirección de correo electrónico ha sido usada para activar una cuenta, no significa que su dueño se registró y quizás nunca haya vistado Ashley Madison. "Yo podría haber creado una cuenta en el sitio con el e-mail barack.obama@whitehouse.gov, pero no hubiera significado que Obama era usuario del sitio", explicó.
Otros, como Stephen Cobb, Senior Security Researcher de ESET, han comentado que cualquiera que se registre en el sitio puede hacerlo sin que necesariamente se verifique si dirección de correo electrónico. En otras palabras, se puede usar cualquier e-mail para crear un perfil, mientras que no haya sido ingresado anteriormente, y todo sin que su dueño se entere.
Adicionalmente, como señala Graham Cluley, incluso aunque alguien se haya registrado en Ashley Madison, eso no significa que haya estado envuelto en una aventura:
"Podrías haberte registrado años atrás cuando estabas soltero y sorprenderte al ver que todavía tienen tus datos personales en su base de datos, o podrías haberte unido por curiosidad y para divertirte un rato... sin planear seriamente hacer nada".
Más allá del robo de datos
Lo que está claro es:
- Ha habido una gran brecha que afectó a millones de personas en todo el mundo, ya que Ashley Madison opera en cerca de 50 países
- Los atacantes han demostrado que cumplen su palabra (habían prometido publicar los datos)
Miembros del sitio siguen en un limbo personal y profesional
Mientras tanto, una investigación completa solicitada por Ashley Madison está en proceso para dar con "el origen, la naturaleza y el alcance de este ataque". Además de trabajar con profesionales de seguridad, el sitio de infidelidades también está cooperando con múltiples investigaciones legales que están llevando a cabo el FBI, la Real Policía Montada de Canadá, la Policía Provincial de Ontario y los Servicios de Policía de Toronto.
Y ustedes, ¿conocen a alguien afectado por la brecha en Ashley Madison?