En julio de 2015, un grupo que se hace llamar "El Equipo de Impacto" robó los datos de usuario de Ashley Madison , un sitio web comercial facturada como permitir extramaritales asuntos . El grupo copió información personal sobre la base de usuarios del sitio y amenazó con revelar los nombres de los usuarios y la información de identificación personal si Ashley Madison no cerraba de inmediato. El 18 y 20 de agosto, el grupo filtró más de 60 gigabytes de datos de la empresa, incluidos los detalles del usuario.
Debido a la política del sitio de no eliminar la información personal de los usuarios, incluidos los nombres reales, direcciones de casa, historial de búsqueda y registros de transacciones de tarjetas de crédito, muchos usuarios temían ser avergonzados públicamente. [1]
Cronología
El Impact Team anunció el ataque el 19 de julio de 2015 y amenazó con exponer las identidades de los usuarios de Ashley Madison si su empresa matriz, Avid Life Media, no cerraba Ashley Madison y su sitio hermano, "Printed Men". [2]
El 20 de julio de 2015, el sitio web publicó tres declaraciones en su sección "Medios de comunicación" que abordan la violación. La cuenta de Twitter del sitio web, normalmente ocupada , se quedó en silencio, además de publicar los comunicados de prensa. [3] Una declaración decía:
En este momento, hemos podido proteger nuestros sitios y cerrar los puntos de acceso no autorizados. Estamos trabajando con las agencias de aplicación de la ley, que están investigando este acto criminal. Cualquiera y todas las partes responsables de este acto de terrorismo cibernético serán responsables. Usando la Ley de Derechos de Autor del Milenio Digital (DMCA), nuestro equipo ahora ha eliminado con éxito las publicaciones relacionadas con este incidente, así como toda la Información de Identificación Personal (PII) sobre nuestros usuarios publicada en línea. [4]
El sitio también ofreció renunciar al cargo por eliminación de la cuenta.
Aunque Ashley Madison negó los informes de que se produjo una publicación masiva de registros de clientes el 21 de julio, [5] se confirmó que más de 60 gigabytes de datos eran válidos el 18 de agosto. [6] La información se publicó en BitTorrent en forma de un archivo comprimido de 10 gigabytes y el enlace se publicó en un sitio web oscuro al que solo se puede acceder a través de la red de anonimato Tor . [7] Los datos se firmaron criptográficamente [8] con una clave PGP . En su mensaje, el grupo culpó a Avid Life Media, acusando a la empresa de prácticas engañosas: "Hemos explicado el fraude, el engaño y la estupidez de ALM y sus miembros. Ahora todos pueden ver sus datos ... Lástima que ALM, prometiste mantener el secreto pero no lo cumpliste ". [9]
En respuesta, Avid Life Media emitió un comunicado de que la compañía estaba trabajando con las autoridades para investigar y dijo que los piratas informáticos no eran " hacktivistas " sino delincuentes. [10] Un segundo volcado de datos más grande se produjo el 20 de agosto de 2015, cuyo archivo más grande comprendía 12,7 gigabytes de correos electrónicos corporativos , incluidos los de Noel Biderman , director ejecutivo de Avid Life Media. [11]
En julio de 2017, Avid Life Media (rebautizada como Ruby Corporation) acordó resolver dos docenas de demandas derivadas del incumplimiento por 11,2 millones de dólares. [12] [13]
Impacto y ética
Ninguna de las cuentas en el sitio web necesita verificación de correo electrónico para crear el perfil, lo que significa que las personas a menudo crean perfiles con direcciones de correo electrónico falsas y, a veces, las personas que tienen nombres similares confunden accidentalmente su dirección de correo electrónico, configurando cuentas para la dirección de correo electrónico incorrecta. La compañía de Ashley Madison requería que el propietario de la cuenta de correo electrónico pagara dinero para eliminar el perfil, evitando que las personas que tenían cuentas configuradas contra su consentimiento (como una broma o un correo electrónico mal escrito) las eliminaran sin pagar. [14] Los piratas informáticos alegan que Avid Life Media recibió 1,7 millones de dólares al año de personas que pagaban para cerrar los perfiles de usuario creados en el sitio. La compañía afirmó falsamente que pagarles "eliminaría por completo" los perfiles, lo que el hack demostró que no era cierto. [14]
Después del ataque, las comunidades de vigilantes de Internet comenzaron a buscar personas famosas, a quienes planeaban humillar públicamente . [15] France24 informó que 1.200 direcciones de correo electrónico .sa de Arabia Saudita estaban en la base de datos filtrada, y que en Arabia Saudita el adulterio puede ser castigado con la muerte. [16] En el sitio se registraron varios miles de direcciones de correo electrónico .mil y .gov estadounidenses . [17] [18] [19] En los días posteriores a la violación, los extorsionadores comenzaron a apuntar a personas cuyos detalles se incluyeron en la filtración, intentando estafarles más de 200 dólares en Bitcoins . [20] [21] [22] Una empresa comenzó a ofrecer un "motor de búsqueda" en el que las personas podían escribir las direcciones de correo electrónico de sus colegas o de su cónyuge en el sitio web, y si la dirección de correo electrónico estaba en la filtración de la base de datos, la empresa les enviaría cartas en las que amenazaban con revelar sus datos a menos que pagaran dinero a la empresa. [23] [24]
Una variedad de investigadores de seguridad y activistas de la privacidad en Internet debatieron sobre la ética mediática de los periodistas que informan sobre los detalles específicos de los datos, como los nombres de los usuarios que se revela que son miembros. [15] [25] [26] [27] Varios comentaristas compararon el hack con la pérdida de privacidad durante el hack de fotos de celebridades de 2014 . [28] [29]
Los psicólogos clínicos argumentaron que lidiar con una aventura de una manera particularmente pública aumenta el daño para los cónyuges e hijos. [30] Carolyn Gregoire argumentó que "las redes sociales han creado una cultura agresiva de vergüenza pública en la que los individuos se encargan de infligir daño psicológico" y que la mayoría de las veces, "el castigo va más allá del alcance del delito". [30] Graham Cluley argumentó que las consecuencias psicológicas para las personas avergonzadas podrían ser inmensas, y que sería posible que algunas personas fueran intimidadas hasta el suicidio. [31] [32] Charles J. Orlando, quien se había unido al sitio para realizar una investigación sobre mujeres que engañan, escribió sobre su preocupación por los cónyuges e hijos de los tramposos declarados , diciendo que "la mafia que es Internet está más que dispuesta para servir como juez, jurado y verdugo "y que los miembros del sitio no merecían" una flagelación en la plaza virtual del pueblo con millones de espectadores ". [33]
El 24 de agosto de 2015, la policía de Toronto anunció que dos suicidios no confirmados se habían relacionado con la violación de datos, además de "informes de delitos de odio relacionados con el ataque". [34] [35] Informes no confirmados dicen que un hombre en los Estados Unidos murió por suicidio. [23] Desde entonces, se ha informado que al menos un suicidio, que anteriormente estaba relacionado con Ashley Madison, se debió a "estrés completamente relacionado con problemas en el trabajo que no tenían conexión con la fuga de datos". [36]
El 24 de agosto de 2015, un pastor y profesor del Seminario Teológico Bautista de Nueva Orleans se suicidó citando la filtración que había ocurrido seis días antes. [37]
Los usuarios cuyos detalles se filtraron están presentando una demanda colectiva de $ 567 millones contra Avid Dating Life y Avid Media, los propietarios de Ashley Madison, a través de los bufetes de abogados canadienses Charney Lawyers and Sutts, Strosberg LLP. [38] En julio de 2017, el propietario de Ruby Corp. anunció que la empresa resolvería la demanda por $ 11,2 millones. [39] En una entrevista de 2019, el director de estrategia de Ashley Madisons, Paul Keable, confirmó la instalación de funciones de seguridad como la verificación de dos factores, el cumplimiento de PCI y la navegación totalmente cifrada como consecuencia del ataque de hackers de 2015. [40]
Análisis de los datos
Annalee Newitz , editora en jefe de Gizmodo , analizó los datos filtrados. [41] Inicialmente descubrió que solo aproximadamente 12,000 de los 5,5 millones de cuentas de mujeres registradas se usaban de manera regular, lo que equivale a 3 de cada 1000, o menos del 1%. [42] [43] Los restantes se utilizaron solo una vez, el día en que se registraron. También descubrió que una gran cantidad de cuentas de mujeres se crearon a partir de la misma dirección IP, lo que sugiere que había muchas cuentas falsas. Encontró que las mujeres revisaban los mensajes de correo electrónico con poca frecuencia: por cada 1 vez que una mujer revisaba su correo electrónico, 13.585 hombres revisaban el de ellos. Solo 9.700 de los 5 millones de cuentas de mujeres habían respondido alguna vez a un mensaje, en comparación con los 5,9 millones de hombres que harían lo mismo. Concluyó que "las cuentas de las mujeres muestran tan poca actividad que bien podrían no estar allí". [42] En un artículo posterior de la semana siguiente, Newitz reconoció que había "malinterpretado la evidencia" en su artículo anterior, y que su conclusión de que había pocas mujeres activas en el sitio se había basado en realidad en la grabación de datos de actividades de "bot" en contactar a los miembros. Ella señala que "no tenemos absolutamente ningún dato que registre la actividad humana en absoluto en el volcado de la base de datos de Ashley Madison del Impact Team. Todo lo que podemos ver es cuando los humanos falsos se comunicaron con los reales". [44]
Las contraseñas en el sitio en vivo se codificaron utilizando el algoritmo bcrypt . [45] [46] Un analista de seguridad que utilizó la herramienta de recuperación de contraseñas Hashcat con un diccionario basado en las contraseñas de RockYou descubrió que entre las 4.000 contraseñas que eran más fáciles de descifrar, "123456" y "contraseña" eran las contraseñas más utilizadas en el sitio web en vivo. Un análisis de contraseñas antiguas utilizadas en una versión archivada mostró que "123456" y "contraseña" eran las contraseñas más utilizadas. [47] Debido a un error de diseño en el que las contraseñas fueron codificadas con bcrypt y MD5 , finalmente se descifraron 11 millones de contraseñas. [48]
Claire Brownell sugirió que la prueba de Turing posiblemente podría ser aprobada por los chatbots que imitaban a las mujeres y que engañaron a millones de hombres para que compraran cuentas especiales. [49]
Ver también
- Vigilantismo en internet
- Vergüenza en línea
Referencias
- ^ Thomsen, Simon (20 de julio de 2015). "El sitio web de relaciones extramaritales Ashley Madison ha sido pirateado y los atacantes amenazan con filtrar datos en línea" . Business Insider . Consultado el 21 de julio de 2015 .
- ^ "Sitio de trampas en línea AshleyMadison pirateado" . krebsonsecurity.com. 15 de julio de 2015 . Consultado el 20 de julio de 2015 .
- ^ "Ashley Madison" . twitter.com . Consultado el 20 de agosto de 2015 .
- ^ "DECLARACIÓN DE AVID LIFE MEDIA, INC" . Ashley Madison. 20 de julio de 2015. Archivado desde el original el 21 de julio de 2015 . Consultado el 22 de julio de 2015 .
- ^ Hern, Alex. "Servicio de atención al cliente de Ashley Madison en crisis mientras el sitio lucha contra las consecuencias del hackeo" . The Guardian .
- ^ "Ashley Madison condena el ataque, ya que los expertos dicen que la base de datos pirateada es real" . The Guardian . 19 de agosto de 2015 . Consultado el 19 de agosto de 2015 .
- ^ Hern, Alex. "Hack de Ashley Madison: sus preguntas respondidas" . The Guardian .
- ^ "No, no puedes contratar a un hacker para que te borre de la fuga de Ashley Madison" . Empresa rápida .
- ^ "Los piratas informáticos finalmente publican datos robados de Ashley Madison" . CON CABLE . 18 de agosto de 2015 . Consultado el 19 de agosto de 2015 .
- ^ "Declaración de Avid Life Media Inc. - 18 de agosto de 2015" . Ashley Madison. 18 de agosto de 2015. Archivado desde el original el 19 de agosto de 2015 . Consultado el 19 de agosto de 2015 .
- ^ Pagliery, Jose (20 de agosto de 2015). "Los piratas informáticos exponen los correos electrónicos de Ashley Madison CEO" . CNNMoney .
- ^ Kravets, David (17 de julio de 2017). "Los abogados obtienen una gran puntuación en el acuerdo por la violación de datos del sitio de trampa de Ashley Madison" . Ars Technica . Consultado el 19 de julio de 2017 .
- ^ Ruby Life Inc. (14 de julio de 2017). "Ruby Corp y los demandantes llegan al acuerdo propuesto de la demanda colectiva con respecto a la violación de datos de Ashley Madison" . PR Newswire (Comunicado de prensa) . Consultado el 19 de julio de 2017 .
- ^ a b "Un tipo creó una cuenta de Ashley Madison vinculada a mi Gmail, y todo lo que obtuve fue esta pésima pantalla de extorsión" . La intercepción . Consultado el 24 de agosto de 2015 .
- ^ a b "Notas tempranas sobre el Hack de Ashley Madison" . El punzón . Archivado desde el original el 21 de agosto de 2015 . Consultado el 20 de agosto de 2015 .
- ^ "Américas - las consecuencias globales del hack de Ashley Madison" . Francia 24 . Consultado el 24 de agosto de 2015 .
- ^ Gibbons-Neff, Thomas (19 de agosto de 2015). "Miles de direcciones .mil potencialmente filtradas en el hack de Ashley Madison" . Washington Post .
- ^ "Informe: pirateo del sitio de adulterio Ashley Madison expuso correos electrónicos militares" . Military.com .
- ^ Ewing, Philip (20 de agosto de 2015). "Pentágono investigando si las tropas utilizaron un sitio web fraudulento" . POLITICO .
- ^ Krebs, Brian (21 de agosto de 2015). "Extorsionistas apuntan a usuarios de Ashley Madison" . Krebs sobre seguridad .
- ^ "Comienza la extorsión para las víctimas de hackeo de Ashley Madison" . TheHill . Consultado el 24 de agosto de 2015 .
- ^ "Los usuarios de Ashley Madison ahora se enfrentan a la extorsión" . FOX2now.com . Consultado el 24 de agosto de 2015 .
- ^ a b "Comienza el spam de Ashley Madison, como filtración vinculada al primer suicidio" . theregister.co.uk .
- ^ "Los archivos de Ashley Madison, ¿es la gente realmente tan estúpida?" . theregister.co.uk .
- ^ "A raíz de Ashley Madison, hacia una ética periodística de utilizar documentos pirateados" . Blog de periodismo online . Consultado el 20 de agosto de 2015 .
- ^ "Hack de Ashley Madison: la ética de nombrar a los usuarios - Fortune" . Fortuna . Consultado el 20 de agosto de 2015 .
- ^ "Jon Ronson y la vergüenza pública" . onthemedia .
- ^ "Hack de Ashley Madison: el deprimente ascenso del hacker 'moral'" . Telegraph.co.uk . 20 de agosto de 2015.
- ^ "A medida que nuestra propia privacidad se vuelve más fácil de invadir, ¿estamos perdiendo nuestro gusto por la sordidez de las celebridades?" . newstatesman.com .
- ^ a b Gregoire, Carolyn (20 de agosto de 2015). "Ashley Madison Hack podría tener consecuencias psicológicas devastadoras" . El Huffington Post .
- ^ "El hack de Ashley Madison - más pensamientos sobre sus consecuencias" . Graham Cluley .
- ^ Farhad Manjoo (6 de septiembre de 2015). "Las víctimas del hackeo merecen empatía, no burlas" . Sydney Morning Herald .
- ^ Charles J. Orlando (23 de julio de 2015). "Me piratearon Ashley Madison, pero eres tú quien debería avergonzarse" . Yahoo! Estilo . Consultado el 8 de octubre de 2015 , a través de Your Tango .
- ^ "Hack de Ashley Madison: 2 suicidios no confirmados vinculados a infracción, dice la policía de Toronto" . CBC . 24 de agosto de 2015 . Consultado el 24 de agosto de 2015 .
- ^ "Suicidio y Ashley Madison" . Graham Cluley .
- ^ Beltrán, Jacob (25 de agosto de 2015). "Widow aborda el suicidio del capitán de SAPD vinculado al sitio de Ashley Madison" . Noticias de San Antonio Express . Consultado el 27 de agosto de 2015 .
- ^ Laurie Segall (8 de septiembre de 2015). "Pastor descubierto en Ashley Madison se suicida" . CNNMoney .
- ^ "Ashley Madison se enfrenta a una gran demanda colectiva" . BBC News . Consultado el 24 de agosto de 2015 .
- ^ "Padre de Ashley Madison en un acuerdo de $ 11,2 millones por violación de datos" . CNBC. 15 de julio de 2017 . Consultado el 15 de julio de 2017 .
- ^ "Revisión de Ashley Madison" . Datingscout.com .
- ^ Newitz, Annalee (27 de agosto de 2015). "Los Fembots de Ashley Madison" . Gizmodo . Consultado el 28 de agosto de 2015 .
- ^ a b Reed, Brad (27 de agosto de 2015). "La revelación más divertida sobre el truco de Ashley Madison hasta ahora" . Yahoo! Tech . Consultado el 28 de agosto de 2015 .
- ^ Gallagher, Paul (27 de agosto de 2015). "Hack de Ashley Madison: sólo tres de cada 10.000 cuentas de mujeres en el sitio web de infidelidad son reales" . The Independent .
- ^ Newitz, Annalee (31 de agosto de 2015). "El código de Ashley Madison muestra más mujeres y más bots" . Gizmodo . Consultado el 19 de diciembre de 2015 .
- ^ Dean Pierce. "Seguridad sofisticada" . pxdojo.net .
- ^ Zack Whittaker. "Esta es la peor contraseña del hack de Ashley Madison" . ZDNet .
- ^ Incluya seguridad. "Incluir blog de seguridad - Mientras gira el ROT13 ....: Un análisis forense ligero del Hack AshleyMadison" . includesecurity.com . Consultado el 20 de agosto de 2015 .
- ^ Goodin, Dan (10 de septiembre de 2015). "Una vez visto como a prueba de balas, más de 11 millones de contraseñas de Ashley Madison ya se han descifrado" . Ars Technica . Consultado el 10 de septiembre de 2015 .
- ^ Claire Brownell (11 de septiembre de 2015). "Inside Ashley Madison: llamadas de cónyuges llorando, perfiles falsos y el truco que lo cambió todo" . Puesto financiero .