La frase “No es lo que parece” no les va a funcionar a los usuarios de la página web de citas Ashley Madison, ya que han robado los registros personales de 37 millones de usuarios. Los hackers han amenazado con publicar la base de datos completa si los dueños no cierran dos de sus páginas web.
Tanto la famosa web de citas “Ashley Madison”, con el provocativo eslogan de “La vida es corta. Ten una aventura”, como la página web “Established Men” que junta a mujeres con hombres ricos, pertenecen a la empresa Avid Life Media (AVM). Los hackers pretenden castigar a AVM por sus injustas prácticas: la empresa pide a sus clientes que paguen una tasa de 19 dólares para eliminar por completo sus perfiles en la web, pero realmente no elimina todos los datos de sus clientes como había prometido.
Los hackers han dicho: “Los usuarios casi siempre pagan con tarjeta de crédito; los datos de sus compras no se eliminan como prometieron, y se incluyen nombres y direcciones reales, información que, por supuesto, es la que los usuarios quieren eliminar de forma más urgente”.
Abogando a la justicia, los hackers exigen a ALM que cierre definitivamente estas dos páginas web. De lo contrario, publicarán online los nombres y direcciones reales de los usuarios, además de la información sobre sus fantasías sexuales.
Los hackers tienen la cortesía de permitir a la compañía mantener sus otras páginas web (la única web que queda de las que pertenecen a ALM es Cougar Life, que pone en contacto a mujeres mayores con hombres jóvenes). La empresa ha respondido presentando cargos a los atacantes por cometer un delito.
#TDSBreakingNews Cheating website Ashley Madison hacked. Back to cheating the old-fashioned way: with wife's sister.
— The Daily Show (@TheDailyShow) July 20, 2015
KrebsOnSecurity afirma que ya se han publicado en la web algunos de estos datos robados para probar que es cierto el hackeo, pero ALM ha conseguido eliminar la información publicada rápidamente. La compañía ha confirmado la filtración y ha declarado que han buscado a “los mejores expertos forenses y otros profesionales de la seguridad para determinar el origen, la naturaleza y alcance de este incidente “.
Es muy probable que esté involucrado en este ataque, alguien que tuviera acceso desde dentro de la compañía, un antiguo empleado o un contratista. Como prueba indirecta de esta teoría, está la nota de disculpa que los atacantes han dirigido al director de seguridad de ALM: “Sólo pedimos disculpas a Mark Steele. Has hecho todo lo que has podido, pero nada de lo que hubieras podido hacer habría detenido esto”.
Dating site, Match are putting user data at risk with non-HTTPS login. Via @arstechnica – http://t.co/8ojiCWsxbL pic.twitter.com/3gmkxE7w83
— Kaspersky (@kaspersky) April 21, 2015
ALM tiene un gran número de ingresos en juego: según los hackers, solamente con el servicio de eliminación del perfil personal, la empresa ha ganado alrededor de 1,7 millones de dólares en el año 2014. Y el proyecto completo de Ashley Madison está valorado en mil millones de dólares aproximadamente.
Actualmente, ALM no parece dispuesta a cumplir con las exigencias de los hackers y cerrar sus negocios. Por otra parte, la privacidad de 37 millones de infieles está en juego. Dejando a un lado los temas morales y los posibles problemas familiares, esta información puede usarse para ataques de phishing o fraude bancario.
No está claro de quién es la culpa: de ALM que prometió la seguridad de sus usuarios o de los usuarios mismos. Un informe de Electronic Frontier Foundation muestra que las páginas web de citas son muy peligrosas en cuanto a seguridad y privacidad. Hace tan solo un par de meses, hackearon otra web de citas, y fueron expuestas las preferencias, fetiches y secretos sexuales de más de 3,5 millones de personas.
6 heartbreaking #privacy and #security flops on major online dating sites – and what you can do about it. https://t.co/jrY3xXw8
— EFF (@EFF) February 10, 2012
Cuando pagas con una tarjeta de crédito unos productos y servicios íntimos, compartes tu información sensible con el vendedor, y con todos los hackers lo bastante audaces como para hackear el sistema del vendedor. Una vez que los datos se lanzan al mundo online ya no hay forma de retirarlos.
Por todo ello, es de vital importancia tener en cuenta unas medidas de seguridad básicas:
- Usa canales de comunicación cifrados;
- paga en efectivo si no quieres que guarden tus datos y puedan ser usados por vendedores poco fiables;
- usa un nombre de usuario y una cuenta de correo electrónico diferente para las páginas web de citas.
Dating in the digital age & staying safe online. http://t.co/FVE0ylNElM #onlinedating #onlinesecurity pic.twitter.com/PdNZZMIzuS
— Kaspersky (@kaspersky) February 21, 2015
ALM afirma que está muy cerca de identificar a los hackers responsables de este ataque. Por desgracia, no es seguro que terminen la investigación a tiempo de salvaguardar la privacidad de millones de sus usuarios.